Contact Form 7の機能拡張を提供するWordPressプラグイン「Ultimate Addons for Contact Form 7」のバージョン 3.5.11 から 3.5.19 までのバージョンで、重大なセキュリティ脆弱性が発見されました。
この脆弱性により、第三者が認証なしで悪意のあるスクリプトをサイトに埋め込むことが可能となり、WordPress管理者がデータベース管理画面にアクセスした際に、埋め込んだスクリプトが実行され、管理者権限の乗っ取りや不正操作が行われる危険性があります。この深刻な脆弱性のため、直ちに対策バージョン 3.5.20 以降への更新を強く推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような深刻な被害が想定されます ・管理者セッションの乗っ取り - 管理画面アクセス時に悪意のあるスクリプトが実行 - 管理者のログイン情報や認証情報の窃取 ・管理者権限での不正操作 - 新規管理者アカウントの不正作成 - 既存ユーザー情報の改ざん - WordPressの重要設定の変更 ・サイトコンテンツの破壊・改ざん - 投稿・固定ページの削除や内容変更 - 悪意のあるコンテンツの追加 - プラグインやテーマの不正インストール ・継続的な攻撃基盤の構築 - バックドアの設置 - 他のサイトへの攻撃の踏み台として悪用 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) フォームフィールド名のサニタイズ不備 ・Contact Form 7のフォーム送信時、フィールド名が未検証でデータベースに保存 ・ <script>alert('XSS')</script> などの悪意のあるコードがそのまま格納(2) 管理画面データ表示時のエスケープ処理欠如 ・ ajax_get_table_data() エンドポイントが生のフィールド名をJSONで返却・JavaScriptライブラリ(DataTables)による直接DOM注入 ・HTMLエンコーディング処理の不備 (3) 認証不要での攻撃実行 ・公開されているContact Form 7フォームから攻撃可能 ・特別な権限や知識なしに悪意のあるデータを注入可能 ・攻撃の痕跡が残りにくい設計 (4) 格納型XSSの特性 ・一度保存されると永続的に攻撃が継続 ・管理者がアクセスする度にスクリプトが実行 ・複数の管理者ユーザーに影響が拡散 |
| 脆弱性の種類 | CWE-79 クロスサイトスクリプティング |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します: (1) 緊急の対策 ・プラグインを対策バージョン(3.5.20以降)に直ちに更新 (2) 被害確認 ・フォーム送信ログの確認 -Contact Form 7フォームへの不審な送信履歴 - 通常とは異なるフィールド名を含む送信データ - HTMLタグやJavaScriptコードを含むフィールド名の有無 ・データベースの確認 - wp_uacf7dp_data_entry テーブルの fields_name カラム- <script>、javascript:、onload= などを含むフィールド名- 不正なHTMLタグや特殊文字を含むデータ ・管理者アクセスログの確認 - データベース管理画面( /admin.php?page=ultimate-addons-db)へのアクセス- 異常な管理者操作の履歴 (3) 追加のセキュリティ対策 ・データベースのクリーンアップ - 不正なフィールド名を含むデータの削除 - Contact Form 7フォームデータの再検証 ・セキュリティ強化 - WAF(Web Application Firewall)の導入 - 管理画面への2要素認証の実装 - 定期的なセキュリティスキャンの実施 ・監視体制の強化 - フォーム送信内容のリアルタイム監視 -異常なJavaScriptコード検出の仕組み導入 ⇒不審なデータや攻撃の痕跡が見つかった場合は、セキュリティ専門家への相談をお勧めします。 |
| 影響を受けるバージョン | Ultra Addons for Contact Form 3.5.11 から 3.5.19 までのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-6212 / RESERVED(2025/06/26時点) |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 7.2 (重大) [Wordfence] |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
AI Engine プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン Ultra Addons for Contact Form 7 情報
| 最新版 バージョン | 3.5.21 |
|---|---|
| 対象 WordPress バージョン | 4.2 またはそれ以降 検証済み最新バージョン :6.8.1 |
| 有効インストール数 | 60,000+ |
| プラグイン ページ | Ultra Addons for Contact Form 7 – WordPress プラグイン | WordPress.org 日本語 |
