WordPressでお問い合わせフォームを作成するプラグイン「Ninja Forms – The Contact Form Builder That Grows With You」のバージョン 3.13.2 までの全てのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、攻撃者が認証なしでフォームの送信データを閲覧できる可能性があります。対策バージョン 3.13.3 以降への更新を強く推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- フォーム送信データの閲覧
- お問い合わせフォームに入力された内容が第三者に閲覧される
- 氏名、メールアドレス、電話番号などの個人情報が漏洩する
- アンケート回答や問い合わせ内容などの機密情報が漏洩する
- フォーム設定情報の閲覧
- フォームにどのような項目があるか確認される
- フォームの構成が把握される
- 被害発生の条件
- サイトに「Submissions Table」ブロック(送信データ表示機能)を使用しているページが存在する
- 攻撃者が特定の認証情報を不正に取得または生成できる
- 特にバージョン 3.13.1 では、認証情報を攻撃者自身が生成できる状態だった
技術的な詳細
この脆弱性は、以下の問題に起因します。
- 認証・認可チェックの不備
- フォームデータを取得するAPI(ninja-forms-views REST endpoint)が、アクセス権限を適切に確認していなかった
- 本来は管理者のみがアクセスできるべきデータに、認証なしでアクセスできる状態だった
- 認証トークンの管理不備
- 「Bearer Token」という認証情報が、特定のフォームやユーザーに紐づいていなかった
- 一つのトークンで、本来アクセスできないはずの複数のフォームデータを閲覧できる状態だった
- 過去の修正の不備(重要)
- バージョン 3.13.1 で一度修正が行われたが、新たな問題を引き起こした
- 任意のフォームIDに対して有効な認証トークンを生成できるエンドポイントが誤って追加されてしまった
- そのため 3.13.1 の修正は無効となり、バージョン 3.13.3 で再度修正された
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- 緊急で、プラグインを対策バージョン(3.13.3以降)に更新してください
- 被害確認
- WordPress管理画面の「Ninja Forms」→「Submissions」から、送信データを確認
- サイトが正常に動作しているか確認
- フォームに入力された個人情報の種類と件数を把握
- 技術的な調査が必要な場合は、サーバー管理者やWordPress専門家に相談
- 必要に応じて、フォーム送信者への情報漏洩の可能性について連絡を検討
- 追加のセキュリティ対策
- 不要な「Submissions Table」ブロックを削除
- フォーム送信データに機密情報が含まれる場合は、定期的な削除を検討
- 可能であればWAF(Webアプリケーションファイアウォール)の導入を検討
⇒個人情報の漏洩が疑われる場合や、対応に不安がある場合は、WordPressの専門家などへの相談をお勧めします。
影響を受けるバージョン
Ninja Forms – The Contact Form Builder That Grows With You 3.13.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-11924 
(公開日 2025年12月17日 更新日 2025年12月17日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-11924 悪用確率 0.06% (上位81%) 2025年12月20日時点
(今後30日以内に悪用される確率 )
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Ninja Forms プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
