WordPressでお問い合わせフォームやアンケートを作成できるプラグイン「Happyforms – Form Builder for WordPress」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.26.13 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者が、フォームの送信を通じて不正なデータをサイト内部に送り込める可能性があります。
対策として、バージョン 1.26.14 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、フォームに保存された送信データを内部で読み戻す処理に起因します。
Happyforms は、外部から送られたデータを安全に確認しないまま元の形式へ復元していたため、データの中に不正な命令(プログラムの部品=オブジェクト)が紛れ込んでいても、それをそのまま組み立ててしまう状態でした。その結果、ログインしていない第三者でも、フォーム送信を通じて不正なデータを送り込める状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正なデータの組み立て
- 攻撃者が用意した不正なデータが、サイト内部でプログラムの部品として組み立てられる状態
被害がどこまで及ぶか(重要)
不正な部品が組み立てられること自体が Happyforms の欠陥です。ただし、それがファイルの削除などの実害に至るかどうかは、その部品をきっかけに動く処理がサイト内に存在するかどうかに左右されます。
公開されている脆弱性情報では、Happyforms 自身にはそうした処理は確認されていないとされています。そのため実害が生じるのは、他のプラグインやテーマにそうした処理が含まれている場合に限られます。
技術的な詳細
(やや専門的な内容です)
保存済みの送信データを復元(デシリアライズ:保存用の文字列を元のデータ形式に戻す処理)する箇所が4つあり、いずれも復元時にプログラムの部品が作られるのを防ぐ制限がかかっていませんでした。
対策版では、これらをすべて専用の処理に置き換え、次の二重の対策が実装されています。
- 復元時に、いかなる部品も作らない設定を加える
- 復元した結果に部品が含まれる場合は、復元せず元の文字列のまま扱う
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を推奨します。
- プラグインの更新
- Happyforms を対策バージョン(1.26.14 以降)へ速やかに更新してください。
- 被害の確認
- Happyforms に保存されたフォームの送信内容(エントリー)を確認してください。
- 氏名やメールアドレスなど通常の文字が入るはずの項目に、「O:」で始まる特殊な形式の文字列(プログラムの部品を表す形式)が保存されていないか確認してください。これが不正なデータを送り込まれた痕跡の手がかりになります。
- 同居プラグイン・テーマの見直し(補助的対策)
- 最優先は上記「プラグインの更新」です。本項目はそれを補う対策です。
- 実害に至る条件を減らすため、使っていないプラグイン・テーマを停止・削除し、利用中のものを最新版に更新することを推奨します。
⇒不審な送信データや、身に覚えのないファイルの変更などが確認された場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
Happyforms – Form Builder for WordPress 1.26.13 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-49768 
/ RESERVED(2026年6月9日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Happyforms プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
