WordPressでお問い合わせフォームを作成するプラグイン「MW WP Form」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 5.1.0 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、サーバー上のファイルが意図しない場所へ移動される可能性があります。
対策として、バージョン 5.1.1 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、フォームから送信されたファイルを処理する際に、ファイルの参照先が許可されたディレクトリの内側に収まっているかを確認する処理が不十分であったことに起因します。攻撃者が細工したデータを送信することで、サーバー上の任意のファイルを意図しない場所へ移動させることが可能な状態となっていました。
なお、本脆弱性が悪用されるには、以下の2つの条件が同時に満たされている必要があります。
- フォームにファイルアップロードフィールドが設置されている
- プラグインの「データベースへの問い合わせデータ保存」オプションが有効になっている
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サーバー上のファイル移動に関する影響
- WordPressの設定ファイル(
wp-config.php)など、サーバー上の重要なファイルが攻撃者の意図した場所へ移動される - そのファイルがWebサーバーから参照できる場所へ移動された場合、外部からその内容が読み取られる
- また、重要ファイルが本来の場所から失われ、サイトが正常に動作しなくなる
技術的な詳細
本脆弱性は、ファイルを保存する際の処理において、ファイルの保存場所を示すパス(文字列)を検証する関数に問題がありました。
修正前のバージョンでは、「../」のような特定の文字列のみをチェックしており、サーバーのルートから始まる絶対パスと呼ばれる形式の指定が混入した場合の検証が行われていませんでした。そのため、攻撃者が絶対パスを含む値を意図的に送信することで、許可されたディレクトリの外にあるファイルを操作できる状態となっていました。
修正版(5.1.1)では、ファイル名にパス区切り文字が含まれないことの確認と、最終的なファイルパスが許可されたディレクトリの内側に収まっているかを検証する処理が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(5.1.1 以降)へ更新してください。
- 被害確認
- WordPressのインストールディレクトリ(通常、
wp-config.phpが設置されている場所)に、そのファイルが引き続き存在するか確認してください。存在しない場合、移動されている可能性があります。 wp-content/uploadsディレクトリ内に、見覚えのない.phpファイルが存在しないか確認してください。重要ファイルがこの場所へ移動されると、外部からその内容が読み取られるおそれがあります。
- WordPressのインストールディレクトリ(通常、
- 追加のセキュリティ対策
- 「データベースへの問い合わせデータ保存」オプションが不要な場合は、プラグインの設定から無効にしてください。
- MW WP Form は2023年9月に開発終了が発表されており、現在は必要最低限の脆弱性対応のみが行われています。新しい機能追加やWordPressバージョンアップへの動作確認は行われない方針のため、引き続きご利用の場合は将来的な互換性リスクをご認識ください。
- 新規サイトへの導入は控え、既存サイトについても他のフォームプラグインへの移行をご検討されることを推奨します。
⇒wp-config.php が本来の場所に存在しない、または見覚えのないファイルが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
MW WP Form 5.1.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-4347 
/ RESERVED(2026年4月2日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重大) [Wordfence]
脆弱性脅威度(EPSS)
-
参考
MW WP Form <= 5.1.0 – Unauthenticated Arbitrary File Move via move_temp_file_to_upload_dir
200,000 WordPress Sites Affected by Arbitrary File Move Vulnerability in MW WP Form WordPress Plugin
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
MW WP Form プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
