WordPressのフォーム作成プラグイン「Ninja Forms – The Contact Form Builder That Grows With You」のバージョン 3.13.2 までの全てのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、ログインしていない第三者が不正なリクエストを通じて、フォームから送信された個人情報や問い合わせ内容を閲覧できてしまう可能性があります。対策バージョン 3.13.3 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- フォーム送信データの閲覧
- サイトのフォームから送信されたデータが第三者に閲覧される
- 氏名、メールアドレス、電話番号などの個人情報が漏洩する
- 問い合わせ内容やメッセージなど、機密性の高い情報も含まれる
- 被害発生の条件
- 攻撃者はWordPressへのログインや特別な権限が不要
- フォームのIDを特定できれば、そのフォームの送信データにアクセスされる可能性がある
技術的な詳細
この脆弱性は、以下の問題に起因します。
- REST APIの認証チェックの欠如
- プラグインが提供するREST API(データアクセス機能)において、アクセス権限の確認が実装されていなかった
- 本来は管理者などの適切な権限を持つユーザーのみがアクセスできるべき機能だった
- そのため、未ログインの第三者でもアクセストークンを生成できてしまう状態だった
- トークンの不正生成
- 攻撃者は特定のAPIエンドポイントに対してリクエストを送ることで、有効なアクセストークンを生成できる
- 生成されたトークンには15分間の有効期限があるが、繰り返し生成することが可能
- このトークンを使用することで、フォーム送信データを閲覧するAPIにアクセスできてしまう
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- 緊急で、プラグインを対策バージョン(3.13.3以降)に更新してください
- データ漏洩の確認
- 可能であれば、サーバーのアクセスログを確認し、以下のようなアクセスがないかチェック
/wp-json/ninja-forms-views/を含むリクエスト- 特に
token/refreshやsubmissionsといったパスへのアクセス - 不審なアクセスが確認された場合、影響を受けた可能性のあるフォーム送信者へ連絡を検討
- 個人情報の取り扱い
- 不要になった古いフォーム送信データは定期的に削除する
- 特に機密性の高い情報を扱うフォームでは、送信データの保存期間を見直す
⇒不審なアクセスが確認された場合や、対応に不安がある場合は、WordPressの専門家などへの相談をお勧めします。
影響を受けるバージョン
Ninja Forms – The Contact Form Builder That Grows With You 3.13.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-14072 
(公開日 2026年1月2日 更新日 2026年1月2日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (高) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-14072 悪用確率 0.05% (上位85%) 2026年2月8日時点
(今後30日以内に悪用される確率 )
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Ninja Forms プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
