Contact Form 7・Ninja Forms・Elementor Forms・WP Formsなど複数のフォームプラグインの送信データを保存・管理するプラグイン「Contact Form Entries」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.4.7 までのすべてのバージョンです。
本脆弱性を悪用された場合、未認証の第三者によって、サーバー上で不正なデータが処理される可能性があります。
対策として、バージョン 1.4.8 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、CSVエクスポート処理においてデータベースに保存されたフォームの回答データを読み出す際、そのデータを復元する処理の安全性確認が欠けていたことに起因します。
攻撃者が細工したデータをフォームから送信しておき、その後CSVエクスポートがトリガーされることで、不正なデータが復元・処理される可能性がある状況となっていました。
想定される被害
本プラグイン単体では実害が発生しません。
同じWordPressサイトに「POPチェーン」を含む別のプラグインまたはテーマが存在する場合に限り、被害につながる可能性があります。
POPチェーンとは?
PHPでは、情報をオブジェクトという形で保存・復元する仕組みがあります。これを読み込むとき、本来は安全な処理しか行われないはずですが、攻撃者が細工したデータを送り込むと、意図しないプログラムの動きを引き出すことがあります。特に「復元されたときに自動で動く危険な処理」がプログラムの中に含まれていると、攻撃者にその処理を使われてしまいます。これをPOPチェーンと呼びます。
POPチェーンが存在する環境での影響
- サーバー上のファイルが削除される可能性
- 機密情報が外部に漏洩する可能性
- サーバー上での任意コード実行につながる可能性
被害発生の条件
以下の条件がすべて重なった場合に、被害が発生する可能性があります。
- 同じWordPressサイトにPOPチェーンを含む別のプラグインまたはテーマがインストールされている
- サイト上のフォームが公開されており、誰でも送信できる状態
- CSVエクスポート処理が実行される
技術的な詳細
本脆弱性は、CSVエクスポート機能においてデータベースから読み出したフォームの回答値に対し、データを復元する処理の安全性確認が実装されていなかった点が原因です。
WordPressの標準関数をそのまま使用していたため、シリアライズ済みのデータが含まれていた場合にPHP標準の復元処理(unserialize)が実行される状態となっていました。この復元処理はオブジェクト復元時に特定のメソッドを自動で呼び出す仕組みがあるため、細工されたデータが含まれていた場合に意図しない処理が実行される可能性がありました。
対策版(1.4.8)では独自の確認処理に差し替えられており、新規のデータに対してはデシリアライズを行わないよう変更されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.4.8 以降)へ更新してください。
- フォーム送信履歴の確認
- 「Contact Form Entries」の管理画面から各フォームの送信履歴を確認し、通常の問い合わせとして不自然な内容が含まれていないか確認してください。
- 不審な送信が確認された場合は、該当エントリを削除してください。
- 不要なプラグイン・テーマの整理
- 本脆弱性の影響度は、他のプラグインやテーマの構成に依存します。使用していないプラグインやテーマは無効化・削除することで、リスクを低減できます。
⇒不審な動作や意図しないファイルの変更などが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Contact Form Entries 1.4.7 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-2599 
(公開日 2026年3月5日 更新日 2026年3月5日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-2599 悪用確率 0.11% (上位71%) 2026年3月6日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Contact Form Entries プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
