WordPressでお問い合わせフォームのリダイレクト機能を提供するプラグイン「Redirection for Contact Form 7」のバージョン 3.2.4 以下のすべてのバージョンで、複数の重大なセキュリティ脆弱性が発見されました。
この脆弱性により、ログインしていない攻撃者でもフォーム送信を通じて悪意あるPHPオブジェクトを送り込んだり、サーバー上の重要ファイルの削除ができてしまいます。対策済みのバージョン 3.2.5 以降への更新を強く推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような被害が想定されます ・サーバーファイルの削除 - WordPressの設定ファイル(wp-config.php)の削除によるサイト機能停止 - プラグインやテーマファイルの削除によるサイト破損 - データベース接続情報の消失によるサイトアクセス不能 - このプラグイン使用サイトでは攻撃が確実に実行可能 ・システム侵害 - 悪意のあるPHPオブジェクトの注入による予期しないプログラム動作 - サーバー設定によってはリモートからのコード実行 - フォーム送信データの改ざんや情報漏洩 ・継続的な被害 - フォーム送信のたびに攻撃が実行される可能性 - 管理者が気づかないうちに被害が拡大 - バックアップがない場合のサイト復旧困難 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) 危険なデータ復元処理の使用 ・フォーム送信データを処理する「get_lead_fields」関数で、安全でないデータ復元処理を使用 ・修正前は「maybe_unserialize()」を使用していたため、攻撃者が悪意のあるオブジェクトを注入可能 ・修正後は「wpcf7r_safe_unserialize()」に変更され、安全な復元処理を実装 (2) ファイルパス検証の不備 ・ファイル削除機能「delete_associated_files」関数で、ファイルパスの検証が不十分 ・修正前は攻撃者が指定したパス(例:../../../wp-config.php)をそのまま使用 ・修正後はファイル名のみを抽出し、安全なディレクトリ内でのパスを再構築 (3) 認証不要での攻撃実行 ・WordPressにログインしていない状態でも攻撃が実行可能 ・お問い合わせフォームからの送信を通じて脆弱性を悪用 ・ファイルアップロード機能があるフォームでは特に危険 |
| 脆弱性の種類 | CWE-502 信頼できないデータのデシリアライゼーション CWE-22 パス・トラバーサル |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) プラグインの更新 ・プラグインを対策バージョン(3.2.5以降)に更新 (2) 被害確認 ・サイト動作の確認 - WordPressの管理画面にアクセス可能か確認 - サイトが正常に表示されるかチェック - お問い合わせフォームが正常に動作するか確認 ・ファイルの確認 - wp-config.phpファイルの存在確認 - プラグインフォルダの内容確認 - テーマファイルの異常な変更がないかチェック ・フォーム送信ログの確認 - 身に覚えのないフォーム送信の有無 - ファイルアップロード機能への不審なアクセス - エラーログに異常なメッセージがないか確認 (3) 追加のセキュリティ対策 ・定期的なプラグイン更新:すべてのプラグインを最新版に保つ ・セキュリティプラグインの導入:WordPressセキュリティプラグインの利用 ・バックアップの実施:定期的なサイトバックアップ ・フォーム機能の見直し:ファイルアップロード機能の必要性検討 ⇒サイトにアクセスできない、ファイルが削除されている、異常な動作が見られる場合は、レンタルサーバー会社のサポートやWordPressの専門家への相談をお勧めします。 |
| 影響を受けるバージョン | Redirection for Contact Form 7 以下のすべてのバージョン |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-8145 / 2025/08/20 CVE-2025-8289 / 2025/08/20 CVE-2025-8141 / 2025/08/20 |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 8.8 (重大) [Wordfence] 基本値: 7.5 (重大) [Wordfence] 基本値: 8.8 (重大) [Wordfence] |
参考
Redirection for Contact Form 7 <= 3.2.4 – Unauthenticated PHP Object Injection
Redirection for Contact Form 7 <= 3.2.4 – Unauthenticated PHP Object Injection via PHAR Deserialization
Redirection for Contact Form 7 <= 3.2.4 – Unauthenticated Arbitrary File Deletion
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Redirection for Contact Form 7 プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグインRedirection for Contact Form 7情報
| 最新版 バージョン | 3.2.5 |
|---|---|
| 対象 WordPress バージョン | 5.1 またはそれ以降 検証済み最新バージョン :6.8.2 |
| 有効インストール数 | 300,000+ |
| プラグイン ページ | Redirection for Contact Form 7 – WordPress プラグイン | WordPress.org 日本語 |
