WordPressでドラッグ&ドロップ式のフォーム作成機能を提供するプラグイン「Form Maker by 10Web」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.15.35 までのすべてのバージョンです。
本脆弱性を悪用された場合、悪意ある第三者がフォームを通じて送信したデータにより、管理者のブラウザ上で不正なスクリプトが実行される可能性があります。
対策として、バージョン 1.15.36 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、フォームの送信データを管理画面に表示する処理において、データの安全性を確認する処理が不十分だったことに起因します。
その結果、攻撃者がフォームの隠しフィールドを通じて、悪意のあるプログラムコードをサイト内に保存させることが可能な状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者への攻撃(蓄積型XSS)
- 攻撃者がフォームを通じて送信したスクリプトがサイト内に保存され、管理者が管理画面で送信一覧を表示した際にブラウザ上で実行される
- これにより、管理者のセッション情報(Cookie)が盗まれ、管理者アカウントへの不正アクセスにつながる可能性がある
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者が、フォーム経由でスクリプトを含むデータを送信する
- 管理者が、プラグインの管理画面(Submissions/送信一覧)を閲覧する
攻撃者はログイン不要でフォームにデータを送信できるため、サイトにアクセス可能であれば攻撃が可能です。
技術的な詳細
本脆弱性は、隠しフィールド(type_hidden)の値を管理画面に表示する処理において、安全な形式への変換を行う関数が使用されていなかった点が原因です。
具体的には、PHPのプログラム内でデータを表示する箇所で html_entity_decode() 関数が使用されていましたが、この関数はHTMLエンティティをデコードするものであり、XSS対策にはなりません。その後に本来必要な esc_html() といったエスケープ関数が欠落していたため、攻撃者がエンコードした形式でスクリプトを送信すると、デコード後、実行可能な状態で出力されていました。
対策版では、出力前に esc_html() によるエスケープ処理が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.15.36 以降)へ更新してください。
- 被害確認(慎重な操作が必要です)
- アップデート適用後、Form Makerの送信一覧(Submissions)に不審なデータが含まれていないか確認してください。
- 特に、<script> や javascript: といった文字列を含む送信データがあれば、攻撃の痕跡である可能性があります。
- ※アップデート前に送信一覧を確認すると、その時点でスクリプトが実行されるリスクがあるため、必ず更新後に行ってください。
- 追加のセキュリティ対策
- 管理者アカウントでのログイン中は、不審なリンクを開かないよう注意してください。
⇒不審な操作履歴や管理者の意図しないアカウント作成などが確認された場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
Form Maker by 10Web 1.15.35 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-1058 
/ RESERVED(2026年2月3日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-1058 悪用確率 0.08% (上位75%) 2026年2月3日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Form Maker by 10Web プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
