WordPressでフォームを作成・管理するプラグイン「JetFormBuilder — Dynamic Blocks Form Builder」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.5.6.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、特定の条件を満たすフォームに対して、第三者によってサーバー上の任意のファイルが読み取られる可能性があります。
対策として、バージョン 3.5.6.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、ファイルアップロードフィールドのプリセット機能(事前に登録されたファイル情報を再利用する機能)において、フォーム送信時に渡されるファイルパスの検証が不十分だったことに起因します。
その結果、攻撃者が細工したデータを送信することで、サーバー上の任意のファイルをメール送信の添付ファイルとして指定できる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サーバーファイルの読み取り
- フォームのメール送信機能を通じて、サーバー上の任意のファイルが攻撃者のメールアドレスへ添付送信される可能性があります。
- 読み取られ得るファイルの例として、データベース接続情報を含む設定ファイル(wp-config.php)が挙げられます。
被害発生の条件
以下の条件をすべて満たすフォームが対象となります。
- JetFormBuilder で作成されたフォームに「ファイルアップロードフィールド(メディアフィールド)」が設置されている
- 同フォームのアクションに「メール送信」が設定されており、かつ上記ファイルアップロードフィールドが添付ファイルとして紐付けられている
なお、フォームのファイルアップロード許可設定が「誰でもアップロード可能(any_user)」に設定されている場合は、ログインしていない攻撃者からも悪用が可能です。デフォルト設定のままであれば、攻撃にはWordPressへのログインが必要です。
技術的な詳細
本脆弱性は、以下の2つの処理における不備が組み合わさることで成立します。
ファイルパスの検証欠落
フォーム送信時に渡されるファイル情報(JSON形式)をプリセットとして読み込む処理において、ファイルの保存先パスが WordPress のアップロードディレクトリ配下にあるかどうかの確認が行われていませんでした。そのため、上位ディレクトリを参照する形式のパス(ディレクトリトラバーサルと呼ばれる手法)が受け入れられる状態でした。
同一ファイル判定の不備
フォームに設定されたプリセットと送信ファイルが同一かどうかを確認する処理において、ファイル名のみで比較が行われていました。これにより、攻撃者はファイル名を一致させることで細工したパスを正規のものとして通過させることができました。
これら2つの不備が組み合わさることで、攻撃者が指定した任意のサーバーファイルがメール送信の添付ファイルとして扱われ、外部に送信される可能性がありました。
対策版では、ファイルパスが必ずアップロードディレクトリ内の実在ファイルを指すことを検証する処理と、メール送信前にも同様の検証を行うフィルタ処理が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.5.6.3 以降)へ更新してください。
- 被害確認
- フォームの構成が「被害発生の条件」に該当する場合、JetFormBuilder の管理画面「フォームレコード」より、身に覚えのないフォーム送信(不審なファイル名・送信元等)が記録されていないか確認してください。
- サーバーのメール送信ログに、意図しない送信が記録されていないか確認してください。
⇒不審な送信が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
JetFormBuilder — Dynamic Blocks Form Builder 3.5.6.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-4373 
(公開日 2026年3月21日 更新日 2026年3月24日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-4373 悪用確率 0.10% (上位72%) 2026年3月25日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
JetFormBuilder プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
