WordPressでフォーム作成・管理を行うプラグイン「Ninja Forms」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.14.0 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、サイト内部の非公開データが取得される可能性があります。
対策として、バージョン 3.14.1 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、フォームの「リピーターフィールド」(繰り返し入力欄)に入力された値を処理する際、本来はサイト管理者が設定したテンプレートにのみ適用されるべき内部変数の展開処理が、ユーザーが送信したデータに対しても実行されていたことに起因します。
Ninja Formsには「マージタグ」と呼ばれる仕組みがあり、メール通知の本文や送信完了メッセージなどに特定の記法を埋め込むことで、投稿に紐づく情報を自動的に挿入できます。この仕組みが、リピーターフィールドから送信された値にも適用されていました。
そのため、攻撃者がマージタグの記法をフォーム入力欄に含めて送信するだけで、サーバー側で内部データが展開され、攻撃者に返却される状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
投稿メタデータの漏洩
- 投稿やページに紐づく非公開の付加情報(メタデータ)が、第三者に取得される可能性
- メタデータには、プラグインやテーマが保存する設定値、ECサイトの顧客情報(請求先メールアドレスなど)、APIキーやトークンといった機密情報が含まれている場合があります
被害発生の条件
- サイト上にリピーターフィールドを含むNinja Formsのフォームが公開されている
- 攻撃者がそのフォームにアクセスできる
ログインや特別な権限は不要であり、フォームに対してデータを送信できれば攻撃が成立します。
技術的な詳細
本脆弱性は、リピーターフィールドの値を処理するメソッドにおいて、ユーザーが送信した入力値に対してマージタグ展開フィルタを適用していた点が原因です。
このフィルタは、入力値に含まれるマージタグ構文を検出し、対応するWordPressの投稿メタデータを取得して、マージタグ部分を実際の値に置き換える処理を行います。
本来この展開処理は、管理者が設定するメールテンプレートや計算式などの内部テンプレートに限定して適用されるべきものでした。しかし、リピーターフィールドのサブフィールド値にも同処理が適用されていたため、未認証のユーザーがフォーム送信のリクエスト(内部処理名:nf_ajax_submit)を通じて、任意のメタデータキーを指定して情報を取得できる状態でした。
対策版(3.14.1)では、リピーターフィールドの値に対するマージタグ展開処理が無効化されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.14.1 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「Ninja Forms」メニュー内の送信履歴(Submissions)より、
リピーターフィールドの送信値に{post_meta:や{user_meta:のようなマージタグ構文が含まれる送信がないか確認してください。 - 該当する送信が見つかった場合、投稿メタデータに保存されている機密情報(APIキー、トークン、顧客情報など)が漏洩した可能性があるため、対象データの変更やキーの再発行を検討してください。
- WordPress管理画面の「Ninja Forms」メニュー内の送信履歴(Submissions)より、
- 追加のセキュリティ対策
- 投稿メタデータにAPIキーやトークンなどの機密情報を保存している場合は、念のためキーの再生成やローテーションを実施してください。
⇒不審な送信が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Ninja Forms 3.14.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-2268 
(公開日 2026年2月10日 更新日 2026年2月10日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-2268 悪用確率 0.06% (上位82%) 2026年2月12日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Ninja Forms プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
