WordPressでフォーム機能を提供するプラグイン「Snow Monkey Forms」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 12.0.3 までのすべてのバージョンです。
本脆弱性を悪用された場合、未認証の第三者によって、サーバー上の任意のファイルが削除される可能性があります。
対策として、バージョン 12.0.4 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインがアップロードされたファイルを管理する処理において、削除対象のパスが本来の保存領域内にあるかを確認する仕組みが実装されていなかったことに起因します。
その結果、攻撃者が特殊な文字列(例: ../)を含むリクエストを送信することで、WordPress本体の設定ファイルやテーマファイルなど、プラグインの管理範囲外のファイルを削除することが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サーバー上のファイル削除による影響
サーバー上の重要なファイルが削除されることで、以下のような影響が発生する可能性があります。
- WordPressの設定ファイルやプラグインのファイルが失われ、サイトが停止または正常に動作しなくなる
- アップロードした画像やメディアファイルが失われ、コンテンツが表示されなくなる
- テーマファイルが失われ、サイトのデザインが崩れる、または表示できなくなる
被害発生の条件
攻撃者がサイトにアクセス可能な状態であれば攻撃が可能です。
ログイン状態や管理者・ユーザーの操作に関わらず悪用される恐れがあります。
技術的な詳細
本脆弱性は、ファイルやディレクトリを削除する際の処理において、以下の2つの問題が重なったことが原因です。
(1) フォームIDの検証不足
フォームIDとして渡される値が数値であることを確認する処理が欠けており、../などの特殊な文字列が混入する可能性がありました。
(2) パスの検証処理の欠落
削除対象のパスが、プラグインが管理するディレクトリ内に存在するかをチェックする処理が実装されていませんでした。
対策版では、フォームIDの厳密な検証とパスの正規化処理が追加され、プラグインの管理範囲外のファイルは削除できなくなりました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(12.0.4 以降)へ更新してください。
- 被害確認
- サイトが正常に表示されるか、重要なファイルが失われていないか確認してください。
- 万が一、サイトに異常が確認された場合は、バックアップからの復元を検討してください。
⇒ サイトに異常が確認された場合や、復旧が必要な場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Snow Monkey Forms 12.0.3 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-1056 
(公開日 2026年1月28日 更新日 2026年1月28日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-1056 悪用確率 0.14% (上位66%) 2026年1月31日時点
(今後30日以内に悪用される確率 )
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Snow Monkey Forms プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
WordPress プラグイン Snow Monkey Forms 情報
| 最新版 バージョン | 12.0.4 |
|---|---|
| 対象 WordPress バージョン | 6.8 またはそれ以降 検証済み最新バージョン : 6.9 |
| 有効インストール数 | 20,000+ |
| 関連 ページ |
プラグインページ
|
