WordPressでフォーム機能を提供するプラグイン「Ninja Forms」のファイルアップロード拡張機能「Ninja Forms – File Uploads」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.0.22 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によって、サーバー上の意図しない場所に任意のファイルを配置される可能性があります。
対策として、バージョン 3.0.23 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、ファイルアップロード処理において、アップロード先のファイルパスを決定する際に、外部から送信された値をそのまま使用していたことに起因します。
その結果、攻撃者が細工したリクエストを送信することで、本来の保存先ディレクトリ以外の場所にファイルを書き込める状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サーバーへの不正ファイル配置
- サーバー上の本来とは異なるディレクトリに、攻撃者が用意したファイルを配置される可能性があります。
- PHPファイルなど実行可能なファイルをWebサーバーがアクセスできる場所に配置された場合、サーバー上でプログラムが実行される状態になる可能性があります。
被害発生の条件
- ファイルアップロードフィールドを含むフォームが、ログイン不要で公開されていること
技術的な詳細
本脆弱性は、ファイルアップロード処理においてアップロード先のファイルパスを組み立てる際、送信されたデータに含まれるパス情報の検証が行われていなかった点が原因です。
本来、アップロードされたファイルは決められた一時保存ディレクトリ内にのみ保存されるべきですが、外部から送信された値にディレクトリをさかのぼる記述(「パス・トラバーサル」と呼ばれる手法)が含まれていた場合でも、そのまま処理が続行される状態でした。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.0.23 以降)へ更新してください。
- 不審なファイルの確認
- 更新後、サーバー上のファイルを確認し、意図しないファイルが配置されていないかチェックしてください。特に以下の場所を確認することを推奨します。
/wp-content/themes/(テーマフォルダ)/wp-content/plugins/(プラグインフォルダ)/wp-content/uploads/の直下や各年月フォルダ以外の場所
- 身に覚えのない
.phpファイルや実行ファイルが見つかった場合は、速やかにWordPressの専門家へご相談ください。
- 更新後、サーバー上のファイルを確認し、意図しないファイルが配置されていないかチェックしてください。特に以下の場所を確認することを推奨します。
- 追加のセキュリティ対策
- WAF(Webアプリケーションファイアウォール)が導入済みの場合は、パス・トラバーサル攻撃に対するルールが有効になっているか確認することを推奨します。
⇒不審なファイルが確認された場合や、サーバーへの不正アクセスが疑われる場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Ninja Forms – File Uploads 3.0.22 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2019-10869 
(公開日 2019年5月7日 更新日 2024年8月4日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2019-10869 悪用確率 48.00% (上位2%) 2026年4月10日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Ninja Forms – File Uploads プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
