WordPressでフォームの作成・管理を行うプラグイン「Form Maker by 10Web」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.15.40 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者がフォームへの送信を通じて不正なスクリプトをサイト内に保存し、管理者が送信内容を確認した際に、ブラウザ上でそのスクリプトが実行される可能性があります。
対策として、バージョン 1.15.41 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、マトリックスフィールド(複数の行と列からなる表形式の入力欄)のテキストボックス型入力において、入力値を安全な形式へ変換する処理が不十分であったことに起因します。その結果、攻撃者が細工した値をフォームから送信することで不正な内容がデータベースに保存され、管理者が送信データの詳細を確認した際にブラウザ上でスクリプトとして実行される状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者への攻撃(蓄積型XSS)
- 攻撃者が送信した不正なスクリプトがデータベースに保存され、管理者が管理画面で送信データの詳細を開いた際にブラウザ上で実行される
- これにより、管理者のセッション情報(Cookie)が盗まれ、管理者アカウントが乗っ取られる可能性がある
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- マトリックスフィールド(テキストボックス型)を含む公開フォームが設置されている
- 攻撃者がそのフォームにアクセスし、不正な値を含む送信を行う
- 管理者が管理画面から当該送信データの詳細を表示する
攻撃者はWordPressへのログインを必要とせず、公開されているフォームへのアクセスのみで攻撃を成立させることができます。
技術的な詳細
本脆弱性は以下の2点が組み合わさることで成立します。
まず、フォームに入力された値はデータベースへ保存される前にHTMLタグの除去処理が行われますが、この処理はHTML属性を区切るために使われる引用符(” や ‘)を除去しません。そのため、引用符を含む値がそのままデータベースに保存されました。
次に、管理画面の送信データ詳細でこの値を入力欄の属性として画面に表示する際、引用符を安全な文字に変換するエスケープ処理が実装されていませんでした。その結果、ブラウザが属性の区切りとして引用符を解釈し、後続の文字列をスクリプトとして実行する状態となっていました。
対策版(1.15.41)では、表示時に適切なエスケープ処理が実装されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.15.41 以降)へ更新してください。
- 被害確認
- プラグインを 1.15.41 以降へ更新した後、WordPress管理画面から「Form Maker」→「送信データ」を開き、マトリックスフィールドを含むフォームの送信一覧を表示してください。
- 各送信データの詳細を開き、テキストボックス欄に通常の回答では使われないような記号(” や ‘)や英字(script、onerror、onmouseover など)が含まれていないか確認してください。不審な送信データが確認された場合は、該当データを削除してください。
- ※ 更新前に送信データの詳細を確認すると、その時点でスクリプトが実行されるリスクがあります。必ず更新後に確認してください。
- 追加のセキュリティ対策
- WAF(Web Application Firewall)の導入は、XSS攻撃のリクエストを遮断するのに有効です。
⇒ 管理者アカウントの意図しない操作や、身に覚えのない設定変更などが確認された場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
Form Maker by 10Web 1.15.40 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-4388 
/ RESERVED(2026年4月14日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (高) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Form Maker by 10Web プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
