WordPressでフォーム作成・管理を行うプラグイン「Form Maker by 10Web」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.15.42 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、データベースから情報を窃取される可能性があります。
対策として、バージョン 1.15.43 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、フォームの選択肢をデータベースから動的に取得する機能において、フォーム送信時の入力値がデータベースへの問い合わせ文(SQLクエリ)に安全でない形で組み込まれていたことに起因します。
その結果、攻撃者がフォームに細工した値を入力して送信することで、本来アクセスが許可されていないデータに対しても、データベースへの問い合わせが実行できる状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
データベースに保存された情報の窃取
- サイトに登録されたユーザーのアカウント情報(メールアドレスや暗号化されたパスワード情報など)の取得
- フォームを通じて送信された個人情報や問い合わせ内容の取得
※ 本脆弱性による影響は情報の読み取りに限られ、データの改ざんやサイトの停止に直接つながるものではありません。
被害発生の条件
以下の条件がそろった場合に、被害が発生する可能性があります。
- サイト上にForm Makerで作成されたフォームが公開されており、データベースから選択肢を取得する機能が使われている
- 攻撃者がそのフォームにアクセスできる状態にある(ログインは不要)
技術的な詳細
プラグインでは、フォームの選択肢をデータベースから取得する際、フォーム送信時の入力値をSQL文の条件(WHERE句)に埋め込む処理がありました。
この処理では、入力値をSQL文に組み込む前にWordPress標準の安全化処理が適用されていました。この安全化処理では、入力値を引用符(クォート)で囲むことで「ここからここまでが値である」と明示し、SQL文の命令部分と明確に区別する仕組みになっています。
しかし、安全化処理の直後にこの引用符を除去する処理が含まれていたため、入力値と命令の境界があいまいになり、攻撃者が入力した値がSQL文の命令として解釈される余地が生じていました。
さらに、この値が渡される先のクエリ組み立て処理でも、カラム名やテーブル名の検証、および値を安全にSQL文へ埋め込む仕組みが実装されておらず、入力値がそのままSQL文に連結されて実行されていました。
対策版では、引用符の除去処理が撤廃され、あらかじめ許可された文字だけを受け入れるチェックと、値を安全にSQL文へ埋め込む仕組みが導入されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.15.43 以降)へ更新してください。
- 被害確認
- フォームが設置されたページのURLに対するサーバーのアクセスログを確認してください。
通常のフォーム送信とは異なる大量のリクエストや、UNIONやSELECTといったデータベース操作の命令文を含む不審なリクエストが記録されていないかが確認のポイントです。 - 窃取された情報を悪用した二次被害の可能性もあるため、念のためWordPress管理画面の「ユーザー」メニューで、身に覚えのないユーザーが登録されていないかも確認してください。
- フォームが設置されたページのURLに対するサーバーのアクセスログを確認してください。
- 追加のセキュリティ対策
- WAF(Webサイトへの不正な通信を遮断する仕組み)を導入している場合は、SQLインジェクション対策のルールが有効になっているか確認してください。
⇒不審なアクセスやユーザーアカウントが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Form Maker by 10Web 1.15.42 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3359 
(公開日 2026年5月5日 更新日 2026年5月6日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3359 悪用確率 0.07% (上位79%) 2026年5月8日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Form Maker by 10Web プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
