
WordPressで問い合わせフォームや決済フォームなどを作成できるプラグイン「Forminator Forms – Contact Form, Payment Form & Custom Form Builder」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.53.1 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によって、サイトのページに不正なプログラムが埋め込まれ、そのページを開いた利用者のブラウザ上で実行される可能性があります。
対策として、バージョン 1.53.2 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、フォームの「プレビュー表示」用にデータを受け取る処理において、本来必要な安全確認が十分に行われていなかったことに起因します。その結果、ログインしていない第三者でも、細工したデータを送り込み、その内容がフォームの表示処理に反映される状況となっていました。
想定される被害
この脆弱性が悪用された場合、次のような被害のおそれがあります。
- 攻撃者が送り込んだ悪意のあるプログラム(スクリプト)が、いったんサイト側に保存される
- そのページを開いた利用者のブラウザ上でプログラムが動作し、ページ上に不正な表示が行われる
※いったん保存され、後からページを開いた人に影響が及ぶ点が、この脆弱性の特徴です。
被害発生の条件
- 該当バージョン(1.53.1 以下)のプラグインを利用していること
- 埋め込まれたプログラムを含むページを、利用者が閲覧すること
攻撃自体はログインしていない状態でも可能で、管理者や利用者による特別な操作は必要ありません。
技術的な詳細
Forminatorには、フォームのプレビュー表示用にデータを受け取る処理があります。この処理は本来、管理者のプレビュー専用で、正当な操作かどうかを確認したうえで動くはずのものでした。
しかし実際には、プレビュー以外のリクエストではその確認が省略されており、さらに受け取ったデータの安全チェックも行われていませんでした。この2つの抜けが重なった結果、ログインしていない第三者でも、危険なデータをそのままフォームの表示処理に送り込める状態になっていました。
対策版では、プレビュー用データの受付を正規のプレビュー経路に限定し、あわせて安全チェックを行うよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.53.2 以降)へ更新してください。
- 被害確認
- Forminatorのフォームを設置しているページを開き、
身に覚えのないプログラムや不審な表示・内容が含まれていないか確認してください。 - リクエスト内容を記録できるWAFやセキュリティプラグインを導入している場合は、
admin-ajax.php宛てでforminator_load_(フォーム読み込み用の処理)を含み、かつプレビュー用データ(preview_data)を伴う、ログイン外からのリクエストがないか確認すると、不正アクセスの痕跡を見つけやすくなります。
- Forminatorのフォームを設置しているページを開き、
- 追加のセキュリティ対策
- WAF(Web Application Firewall=不正な通信を遮断する仕組み)の導入は、この種の攻撃のリクエストを遮断するのに有効です。
⇒不審なプログラムの埋め込みやアクセスの痕跡が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Forminator Forms – Contact Form, Payment Form & Custom Form Builder 1.53.1 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-56071
(公開日 2026年6月25日 更新日 2026年6月25日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-56071 悪用確率 0.18% (上位92%) 2026年7月7日時点
Forminator プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。



