WordPressでフォームを作成するプラグイン「Forminator Forms – Contact Form, Payment Form & Custom Form Builder」のバージョン 1.44.2 以下のすべてのバージョンで、極めて深刻なセキュリティ脆弱性が発見されました。
この脆弱性は時間差攻撃が可能で、攻撃者がフォームに悪意のあるデータを送信した後、管理者が通常のエントリ削除作業を行ったり、プラグインの自動削除機能が働いた瞬間に重要なファイルが削除され、サイトが完全に乗っ取られる危険性があります。直ちに対策バージョン 1.44.3 以降への更新を強く推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような深刻な被害が想定されます ・サイトの完全乗っ取り - WordPressの設定ファイル(wp-config.php)削除による管理画面掌握 - データベース接続情報の露出 - サイト全体の改ざんや悪意のあるコード埋め込み - 個人情報や機密データの完全流出 ・時間差攻撃による気づきにくい被害 - フォーム送信から数日~数週間後に突然攻撃が発動 - 通常の管理作業中に被害が発生するため原因特定が困難 - バックアップを取る前に重要ファイルが削除される可能性 ・自動削除による無防備な攻撃 - 管理者が何も操作しなくても自動的に攻撃が実行 - 深夜や休日など管理者不在時の被害発生 - 複数のサイトで同時多発的な被害の可能性 ・連鎖的なサーバー被害 - 他のプラグインやテーマと組み合わさることで被害が拡大 ・法的・社会的リスク - 顧客情報漏洩による損害賠償責任 - サイト停止による事業機会損失 - 企業・組織の信頼失墜と風評被害 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) 時限爆弾型攻撃の仕組み ・攻撃者がフォームに悪意のあるファイルパス情報を送信 ・データは一見無害な状態でサーバーに保存される ・管理者のエントリ削除作業時に突然攻撃が発動 ・自動削除設定がある場合は完全無人で攻撃実行 (2) パストラバーサル攻撃 ・ ../../../wp-config.php のような相対パス指定・本来削除すべきアップロードファイル以外のシステムファイルを削除 ・WordPressの重要設定ファイルの破壊 (3) PHP Object Injection攻撃 ・「POP chain(連鎖反応の仕組み)」の悪用 ※POP chain:まるでドミノ倒しのように、一つの動作が次々と別の処理を引き起こし、最終的に攻撃者の意図した悪意のある動作を実行させる仕組み ・ phar:// プロトコルを使った悪意のあるオブジェクト注入・他のプラグインと組み合わさることで攻撃威力が増大 (4) 防御の困難性 ・通常の業務フロー(エントリ削除)を利用した攻撃 ・管理者が注意しても防ぎようがない攻撃手法 ・攻撃の痕跡が残りにくく事後調査が困難 |
| 脆弱性の種類 | CWE-73 ファイル名やパス名の外部制御 CWE-502 信頼できないデータのデシリアライゼーション |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) 緊急の対策 ・プラグインを対策バージョン(1.44.3以降)に直ちに更新 ・更新前にサイト全体のバックアップを実施 (2) 被害確認 ・過去のフォーム送信内容の確認 - WordPress管理画面 → Forminator → Submissions で異常な送信がないかチェック - ファイルアップロード項目に不審なパス( ../を含む)がないか確認- 特に長期間削除していないエントリの点検 ・システムファイルの確認 - wp-config.php ファイルの存在確認 - .htaccess ファイルの内容確認 - サイトの正常動作確認(ログイン可能か、表示に異常がないか) (3) 過去エントリの安全な処理 ・疑わしいエントリの手動確認後の慎重な削除 ・自動削除設定の一時的な無効化 ・エントリ削除前のシステムファイルバックアップ (4) 追加のセキュリティ対策 ・フォーム送信の監視強化:Forminatorのログ監視 ・セキュリティプラグインの導入:WAF機能付きセキュリティプラグイン ・定期バックアップの自動化:重要ファイルの毎日バックアップ ・プラグイン更新の自動化:セキュリティ更新の即座適用 ⇒サイトにアクセスできない、ログインできない等の異常がある場合は、レンタルサーバー会社のサポートやWordPressの専門家への緊急相談をお勧めします。 |
| 影響を受けるバージョン | Forminator 1.44.2 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-6463 / RESERVED(2025/07/02時点) CVE-2025-6464 / RESERVED(2025/07/02時点) |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 8.8 (重大) [Wordfence] 基本値: 7.5 (重大) [Wordfence] |
参考
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Forminator プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン Forminator 情報
| 最新版 バージョン | 1.44.3 |
|---|---|
| 対象 WordPress バージョン | 6.4 またはそれ以降 検証済み最新バージョン :6.8.1 |
| 有効インストール数 | 600,000+ |
| プラグイン ページ | Forminator Forms – お問合せフォーム、支払いフォーム、カスタムフォームビルダー – WordPress プラグイン | WordPress.org 日本語 |
