ドラッグ&ドロップで問い合わせフォームが作れ、送信履歴を残せる WordPressプラグイン Ninja Forms に 深刻度 警告 の 脆弱性が発見されました。
最新バージョンに更新してください。
想定される事象
| 想定される事象 Ⅰ | 管理サイトにログインし、細工されたページにアクセスした場合、意図しない操作をさせられる |
|---|---|
| 発生バージョン | Ninja Forms 3.8.1 (2024/3/27 リリース) より前のバージョン |
| CVE-ID / CVSS v3 による深刻度 | CVE-2024-26019 / 基本値: 5.4 (警告) [IPA値] |
| CVE-2024-29220 / 基本値: 5.4 (警告) [IPA値] |
| 想定される事象 Ⅱ | サイトにアクセスすると、ウェブブラウザ上で、任意のスクリプトが実行される |
|---|---|
| 発生バージョン | Ninja Forms 3.4.31 (2024/3/27 リリース) より前のバージョン |
| CVE-ID / CVSS v3 による深刻度 | CVE-2024-25572 / 基本値: 4.3 (警告) [IPA値] |
対策
最新版にアップデートしてください。
当社の WordPress 保守サービス スタンダード もしくは プレミアムプラン ご利用のお客様において、プラグイン Ninja Forms をご利用されている場合は、プラグイン 更新状況をメールにて 順次ご案内しております。
WordPress プラグイン情報 (2023年4月8日 18時点)
| 最新版 バージョン | 3.8.2 (2024 / 3/ 29(金) リリース) |
| WordPress バージョン | 6.1またはそれ以降 検証済み最新バージョン : 6.4.3 |
| 有効インストール数 | 800,000+ |
| プラグイン ページ (日本語) | Ninja Forms Contact Form – The Drag and Drop Form Builder for WordPress – WordPress プラグイン | WordPress.org 日本語 |
| 開発者 ページ (英語) | Ninja Forms – Your Drag & Drop WordPress Form Builder |
