WordPress向けフォーム作成プラグイン Kali Forms に、認証不要でサーバー上のコード実行につながる深刻な脆弱性 CVE-2026-3584 が公表されました。CVEとNVDによると、影響を受けるのは 2.4.9 以前の全バージョンで、CVSS v3.1 の基本値は 9.8 です。脆弱性は form_process 関数に起因し、認証されていない外部攻撃者でも悪用できると説明されています。
影響バージョン
プラグインバージョン 2.4.9 以前が全て対象です。
とくに WordPress では、自動更新を無効にしている環境や、検証待ちのまま古いプラグインが残る運用が少なくないため、情シス部門や運用担当者はインストール済みプラグインの棚卸しを早急に行うべきです
対策バージョン
対策は 2.4.10 への更新です。WordPress.org の changelog では、2.4.10 で crafted submission data により内部プレースホルダーが上書きされ、form processing 中に任意の callable が起動され得る問題を修正したと説明しています。修正内容としては、実在するフォームフィールドに一致するキーのみをプレースホルダーデータへマッピングするよう変更し、組み込みの callable プレースホルダーを trusted defaults から復元するようにしたとされています。
脆弱性の概要
NVDとCVEの説明では、prepare_post_data 関数がユーザー入力のキーを内部のプレースホルダー格納領域へ直接マッピングし、その後にそれらの値が call_user_func で処理されることが問題の根本にあるとされています。この設計により、攻撃者が細工したデータを送信すると、サーバー側で意図しない callable が実行され、結果としてリモートコード実行に至る可能性があります。
重要なのは、この脆弱性が認証不要で悪用可能とされている点です。NVDのCVSSベクトルは AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H で、ネットワーク経由、低い攻撃難度、権限不要、ユーザー操作不要という評価になっています。つまり、公開中のフォーム機能を持つサイトでは、外部から直接狙われるリスクとして受け止める必要があります。








