フォーム作成プラグイン「Everest Forms Pro」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.9.12 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、サーバー上で攻撃者の用意した処理が実行される(任意コード実行)可能性があります。
対策として、バージョン 1.9.13 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、フォームの「複雑な計算(Complex Calculation)」機能において、利用者が入力した値を安全な形に処理しきれていなかったことに起因します。
その結果、攻撃者が細工した文字を入力欄に送信すると、本来は計算式の一部として扱われるはずの値が、本来意図しないプログラム命令としてサーバー側で実行される状況となっていました。
※この機能は有料版(Pro)の計算機能を使用しているフォームでのみ動作します。無料版のみの利用や、計算機能を使っていないフォームは対象外です。
想定される被害
確認できた範囲で、次のような被害のおそれがあります。
- サーバー上で、攻撃者が用意した処理が実行される(任意コード実行)
- その結果、ファイルの改ざん・不正なアカウントの追加・情報の持ち出しなど、サーバー上で可能な操作が行われうる
被害発生の条件
- 計算機能を使ったフォームが、外部から送信可能な状態で公開されている
- 攻撃者がそのフォームに細工した値を送信する(ログイン・管理者の操作は不要)
技術的な詳細
フォームに入力された値は、計算処理のためにプログラムコードの一部へ組み込まれ、サーバー上で実行されます。
このとき、値に含まれる一部の記号を無害化する処理が行われていましたが、文字列の区切りを示す記号(クォート記号)の無害化が抜けていました。
そのため、攻撃者が区切り記号を含む値を送信すると、入力値が「計算用のデータ」ではなく「実行すべき命令」として解釈され、用意した任意の処理がそのまま動作してしまう状態でした。
対策版では、入力値の取り扱いが見直され、命令として解釈されないよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、Everest Forms Pro を対策バージョン(1.9.13 以降)へ更新してください。
- 被害の有無の確認
- WordPress管理画面の「ユーザー」メニューより、身に覚えのない管理者権限のユーザーが追加されていないか確認してください。
確認された攻撃では「diksimarina」などの名前で管理者が作成される例があり、心当たりのない管理者アカウントは攻撃の痕跡となります。 - あわせて、心当たりのないプラグイン・テーマや、更新日時が不自然なファイルがないか確認してください。
- WordPress管理画面の「ユーザー」メニューより、身に覚えのない管理者権限のユーザーが追加されていないか確認してください。
- 追加のセキュリティ対策
- WAF(Web Application Firewall:不正な通信を遮断する仕組み)の導入は、本脆弱性を狙う攻撃の遮断に有効です。
⇒ 攻撃の痕跡が確認された場合は、サイト全体が影響を受けた前提で、クリーンなバックアップからの復元など、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
Everest Forms Pro 1.9.12 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-3300 
(公開日 2026年3月31日 更新日 2026年4月8日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-3300 悪用確率 0.31% (上位45%) 2026年6月3日時点
参考
Everest Forms Pro <= 1.9.12 – Unauthenticated Remote Code Execution via Calculation Field
Attackers Actively Exploiting Critical Vulnerability in Everest Forms Pro Plugin
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Everest Forms Pro プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
