Contact Form 7にドラッグ&ドロップのファイルアップロード機能を追加するプラグイン「Drag and Drop Multiple File Upload – Contact Form 7」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.3.9.5 までのすべてのバージョンです。
本脆弱性が悪用された場合、ログインしていない第三者によって、攻撃者が用意したファイルをサーバー上にアップロードされる可能性があります。
対策として、バージョン 1.3.9.6 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、ファイルアップロード処理において、アップロードを禁止すべきファイル拡張子のチェックが不十分であったことに起因します。具体的には、フォームのファイルタイプ設定が「すべて許可(*)」に設定されている場合、本来ブロックすべき一部のファイル拡張子が禁止リストに含まれておらず、そのまま受け入れられる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正ファイルのアップロードによる影響
- サーバー上に攻撃者が用意したファイルを設置される可能性
- 設置されたファイルが実行可能な状態となった場合、サーバー上での任意のコード実行(プログラムの不正実行)につながるおそれ
被害発生の条件
以下の条件がすべて重なった場合に、被害が発生する可能性があります。
- 当該プラグインのファイルアップロードフィールドで、許可ファイルタイプが「すべて許可(*)」に設定されている
- サーバー側が特定のファイル拡張子をプログラムとして実行できる構成になっている
許可タイプを明示的に限定している場合(例:jpg|png|pdf 等)は、この攻撃経路は閉じられています。
技術的な詳細
本脆弱性は、ファイルアップロード処理の中で、禁止ファイル拡張子を定義したリストに一部の危険な拡張子が含まれていなかった点が原因です。
許可タイプが「すべて許可」の場合、インライン禁止リストのみが適用されます。しかしこのリストには .php5 / .php7 / .php8 といったPHPの代替拡張子が含まれておらず、これらのファイルがブロックされない状態でした。
また、拡張子の検証がサニタイズ(無害化処理)前のファイル名に対して行われていたため、サニタイズ後に拡張子が変化した場合に、検証をすり抜けるおそれがありました。
対策版では、禁止拡張子リストへの追加と、サニタイズ後のファイル名に対して検証を行うよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.3.9.6 以降)へ更新してください。
- フォーム設定の確認
- WordPress管理画面の「お問い合わせ」メニューより、ファイルアップロードフィールドを含むフォームを開き、許可ファイルタイプが「*(すべて許可)」に設定されていないかご確認ください。
- 不必要に「*」を設定している場合は、実際に必要な拡張子のみ(例:jpg|png|pdf)に限定することを推奨します。
- アップロードフォルダの確認
- プラグインが使用するアップロードディレクトリ(wp-content/uploads/wp_dndcf7_uploads/wpcf7-files/)に、身に覚えのないファイルが存在しないか確認してください。
- .php5 / .php7 / .php8 などの拡張子を持つファイルが見つかった場合は、自己判断での削除は行わず、WordPressの専門家への相談を推奨します。
⇒ 不審なファイルの設置や不正なアクセスの痕跡が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Drag and Drop Multiple File Upload – Contact Form 7 1.3.9.5 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3459 
(公開日 2026年3月5日 更新日 2026年3月5日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3459 悪用確率 0.12% (上位69%) 2026年3月6日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Drag and Drop Multiple File Upload – Contact Form 7 プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
