WordPressでお問い合わせフォームの作成・管理を行うプラグイン「Kali Forms — Contact Form & Drag-and-Drop Builder」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.4.9 までのすべてのバージョンです。
本脆弱性を悪用された場合、サイトにログインしていない外部の攻撃者によって、サーバー上で意図しないプログラムが実行される可能性があります。
対策として、バージョン 2.4.10 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、フォームの送信データを処理する機能において、フォームから送信される項目名を十分に確認しないまま、プラグイン内部の処理に引き渡していたことに起因します。
その結果、本来はプラグイン内部でのみ使用されるべき処理が攻撃者によって書き換えられ、後続の処理においてサーバー上で意図しないプログラムが実行される可能性がある状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サーバー上でのプログラム実行に関する影響
- 攻撃者が細工したフォームデータを送信することで、サーバー上で意図しないプログラムが呼び出される
被害発生の条件
- サイト上にKali Formsで作成・公開されたフォームが存在する
管理者等がログインしているかどうかは関係なく、公開されたフォームが存在するだけで攻撃が成立します。
技術的な詳細
本脆弱性は、フォーム送信処理において以下の2点が組み合わさって発生します。
(1) フォームに存在しない項目名が送信された場合でも、検証なしにプラグイン内部の処理に取り込まれていた
(2) プラグイン内部では、処理の一部を担うPHP関数(※)があらかじめ登録されており、フォーム処理の後段でそれらが自動的に実行される仕組みとなっていた
※ PHP関数:プログラムが特定の処理を行うために呼び出す機能のまとまり
これにより、攻撃者が特定の項目名を含むデータを送信することで、登録済みのPHP関数を別の値に置き換え、書き換えられた値がPHP関数として呼び出される可能性がありました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.4.10 以降)へ更新してください。
- 被害確認
- サーバーのアクセスログに、WordPressのフォーム処理機能への不審なアクセスが記録されていないか確認してください。
- ログの確認が難しい場合は、WordPressの専門家への相談を推奨します。
⇒ 不審なサーバーの動作やログが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Kali Forms — Contact Form & Drag-and-Drop Builder 2.4.9 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3584 
(公開日 2026年3月20日 更新日 2026年3月23日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3584 悪用確率 0.22% (上位56%) 2026年3月25日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Kali Forms プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
