WordPressでフォームの作成・管理を行うプラグイン「Everest Forms」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.4.3 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者がフォームを通じて不正なデータを送り込み、管理者が管理画面でフォームの回答を閲覧した際に被害が発生する可能性があります。
対策として、バージョン 3.4.4 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、フォームの送信データを管理画面に表示する処理において、以下の2つの安全確認が欠落していたことに起因します。
1つ目は、データベースに保存されたフォーム送信値を読み出して復元する処理において、復元を許可するデータの種類を制限する仕組みが実装されていなかった点です。
2つ目は、フォーム送信値を管理画面に表示する際、HTMLとして解釈されないよう変換する処理(エスケープ処理)が行われていなかった点です。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サーバー上での意図しないプログラムの実行
攻撃者がフォームを通じて不正なデータを送信し、管理者がエントリーを閲覧した際に、サーバー上に存在するプログラムの処理が意図せず呼び出されます。オブジェクトの復元そのものが目的ではなく、その際に自動実行される処理を踏み台として、サーバー上で意図しないプログラムを動作させることが攻撃の本質です。これにより、サーバー上のファイルの改ざんや情報の窃取などの被害につながる可能性があります。
管理者のブラウザ上での不正スクリプト実行(蓄積型XSS)
- 攻撃者が送信したフォームの内容に不正なスクリプトが含まれていた場合、管理者がエントリーを閲覧した際にブラウザ上で実行される可能性があります
- これにより、管理者のセッション情報(Cookie)が窃取され、管理者アカウントが乗っ取られるおそれがあります
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 攻撃者がEverest Formsのフォームにアクセスして送信できる状態であること(ログインは不要)
- 管理者がWordPress管理画面でフォームの回答(エントリー)を閲覧すること
技術的な詳細
1つ目の問題は、管理画面のエントリー表示処理において、データベースから取得したフォーム送信値を復元する際、復元を許可するデータの種類を制限する指定が行われていなかった点が原因です。PHPのデータ復元処理では、オブジェクトの復元と同時にプログラムのメソッドが自動的に呼び出される仕様があります。この制限が欠落していたため、攻撃者が送り込んだデータをきっかけに意図しない処理が実行される状態となっていました。なお、フォーム送信時の入力値の無害化処理(サニタイズ)ではこの問題に対処できず、攻撃者が意図したデータがそのままデータベースに保存されます。
2つ目の問題は、同じくエントリー表示処理において、フォーム送信値を画面に出力する際にHTML特殊文字を無害な文字列に変換する処理が使用されていなかった点が原因です。そのためブラウザが送信値に含まれるスクリプトを実行可能なプログラムとして解釈する状態となっていました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.4.4 以降)へ更新してください。
- 被害確認(必ず更新後に行ってください)
- WordPress管理画面の「Everest Forms」→「Entries(エントリー)」から、身に覚えのない不審なフォーム送信が記録されていないか確認してください。
※更新前に閲覧すると不正スクリプトが実行されるリスクがあるため、必ず更新後に行ってください。 - WordPress管理画面の「ユーザー」メニューから、意図せず追加された管理者権限のアカウントがないか確認してください。
- 不審なアカウントが確認された場合は、該当ユーザーの修正または削除を行ってください。
- WordPress管理画面の「Everest Forms」→「Entries(エントリー)」から、身に覚えのない不審なフォーム送信が記録されていないか確認してください。
- 追加のセキュリティ対策
- WAF(Web Application Firewall)の導入は、不正なフォーム送信リクエストを遮断するのに有効です。
⇒ 不審なエントリーや管理者アカウントが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Everest Forms 3.4.3 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3296 
(公開日 2026年4月8日 更新日 2026年4月8日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Everest Forms プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
