WordPressで掲示板(フォーラム)機能を構築するプラグイン「wpForo Forum」において、重大なセキュリティ上の問題が確認されました。本件は執筆時点で対策済みのバージョンが提供されていない「未修正」の脆弱性です。
本脆弱性を悪用された場合、サイトにログイン可能なユーザー(購読者など)によって、WordPressの重要な設定ファイル(wp-config.phpなど)が削除される恐れがあります。
現時点では修正版が提供されていないため、プラグインの利用停止をご検討ください。
脆弱性詳細
本脆弱性は、フォーラムの投稿(トピック)を作成・編集する際のデータ処理に不備があることに起因します。
本来、投稿本文などは単純な文字列として扱われるべきですが、システムが特定のデータ形式(配列)を無制限に受け入れてしまう状態にありました。また、ファイルの削除を指示する際、そのファイルが本当に削除して良いものかを適切に検証する仕組みも欠落していました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サイトの停止
WordPressの動作に不可欠な設定ファイル(wp-config.php)が削除される可能性があります。これによりデータベース接続ができなくなり、サイトが表示されなくなります。
攻撃の条件
- 攻撃者が、サイトにログインできる権限(購読者など、最低限の権限で可能)を持っている
- 攻撃者が、特定の形式に加工したデータを投稿フォームから送信する
管理者による操作は不要であり、攻撃者が自らの操作のみで攻撃を完結させることができます。
技術的な詳細
本脆弱性は、以下の2段階の処理を経て実行されます。
- 不正なパスの保存
- 投稿データの保存時に、本来は本文が入るべき箇所に「削除したいファイルのパス(例:wp-config.php)」を含めた特殊なデータを送信し、データベースに不正な情報を登録させます。
- 削除処理の実行
- 次に、投稿の編集画面から「添付ファイルの削除」という命令を送信します。システムは、①で登録された不正なパスを正当なファイルとして読み込み、そのまま削除命令を実行してしまいます。
脆弱性の種類
推奨対応事項
現在、開発者からの修正版が公開されていないため、以下の対応を推奨します。
- プラグインの利用停止
- 修正版がリリースされるまで、wpForo Forum プラグインを「無効化」することを検討してください。
- 代替プラグインへの移行検討
- 掲示板機能が必要不可欠な場合は、他のフォーラムプラグインへの移行を検討してください。
- 被害確認
- FTPクライアントやサーバーのファイルマネージャーを使用して、WordPressのルートディレクトリに
wp-config.phpが存在するか確認してください。このファイルが削除されている場合、バックアップからの復元が必要です。
- FTPクライアントやサーバーのファイルマネージャーを使用して、WordPressのルートディレクトリに
⇒ 被害が確認された場合や対応が難しい場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
wpForo Forum 3.0.2 までのすべてのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-5809 
/ RESERVED(2026年4月11日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-5809 悪用確率 0.03% (上位90%) 2026年4月11日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
wpForo Forum プラグインをご利用中のお客様には、
プラグインの利用停止および推奨対応事項について、順次メールにてご案内しております。
