WordPressのお問い合わせフォームプラグイン「Contact Form 7」の拡張として、フォーム送信後のリダイレクトやJavaScript(ブラウザ上で動作するプログラム言語)実行機能を提供するプラグイン「Redirection for Contact Form 7」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.2.8 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者がフォーム経由で悪意のあるプログラム(スクリプト)をサイトに埋め込むことが可能です。埋め込まれたプログラムは、そのページを閲覧したユーザーのブラウザ上で実行される可能性があります。
対策として、バージョン 3.2.9 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、フォーム送信後にカスタムJavaScriptを実行する機能(Fire JavaScript)において、フォームから送信された値をプログラムコードに埋め込む際、危険な内容を無害化する処理が行われていなかったことに起因します。
その結果、攻撃者がフォーム入力欄に不正なプログラムを含めて送信すると、そのプログラムがサイト内に保存され、該当ページを閲覧したユーザーのブラウザ上で実行される状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正なプログラム実行による影響
- 管理者がページを閲覧した場合、ログイン状態を保持する情報(Cookie)の窃取による管理者アカウントの乗っ取り
- ページ表示内容の改ざんにより、訪問者に対する偽のフォームや不正なコンテンツの表示
被害発生の条件
攻撃が成立するには、プラグインのJavaScript実行機能(Fire JavaScript)が有効になっていることが前提です。ただし、攻撃者にログインや特別な権限は不要で、フォーム送信が可能であれば実行できます。
技術的な詳細
※ 以下はやや技術的な内容です。対応方法のみ確認したい場合は「推奨対応事項」へお進みください。
脆弱性詳細で述べた「Fire JavaScript」機能では、管理者がプログラムのテンプレート内にフォームタグ(例:[your-name]等)を記述しておくと、送信時にフォームの入力値へ自動的に置き換える仕組みになっています。
この置換処理において、入力値を安全な形式に変換する処理(無害化処理)が有効化されていませんでした。具体的には、置換を行う内部関数の呼び出し時に、無害化処理を有効にするための設定が正しく指定されていなかったため、フォームから送信された値がそのままプログラムコードに挿入されていました。
攻撃者はフォーム入力欄に不正なプログラムを含む文字列を送信することで、生成されるプログラム内に不正なコードを注入できます。このコードはサイト内に保存され、以降のページ閲覧時にブラウザで実行される状態となっていました。
対策版では、置換処理時に無害化処理が有効化され、入力値が安全な形式に変換されてからプログラムコードに挿入されるよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.2.9 以降)へ更新してください。
- 被害確認(必ず更新後に実施)
- 本脆弱性の影響を受けるのは、プラグインのJavaScript実行機能(Fire JavaScript)を利用しているフォームです。
WordPress管理画面の「お問い合わせ」から各フォームの設定を確認し、「Fire JavaScript」アクションが有効になっているフォームを特定してください。 - 該当フォームがある場合、そのフォームが設置されたページに意図しないコンテンツが表示されていないか確認してください。
- 不審な表示や動作が確認された場合は、該当フォームの編集画面にある「アクション」タブを開き、Fire JavaScript内のプログラム記述に身に覚えのない内容がないか確認してください。不審な記述があれば削除してください。
- 本脆弱性の影響を受けるのは、プラグインのJavaScript実行機能(Fire JavaScript)を利用しているフォームです。
- 追加のセキュリティ対策
- Fire JavaScript機能を使用していない場合は、該当アクションを無効化してください。
⇒不審な動作が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Redirection for Contact Form 7 3.2.8 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-23970 
/ RESERVED(2026年5月20日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Redirection for Contact Form 7 プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
WordPress プラグイン Redirection for Contact Form 7 情報
| 最新版 バージョン | 3.2.10 |
|---|---|
| 対象 WordPress バージョン | 5.1 またはそれ以降 検証済み最新バージョン : 7.0 |
| 有効インストール数 | 200,000+ |
| 関連 ページ |
プラグインページ
|
