1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. WordPressの人気プラグイン Everest Formsで深刻な脆弱性(CVE-2025-1128)

WordPressの人気プラグイン Everest Formsで深刻な脆弱性(CVE-2025-1128)

セキュリティニュース

投稿日時: 更新日時:

WordPressの人気プラグイン Everest Formsで深刻な脆弱性(CVE-2025-1128)

10万以上のサイトに利用されているWordPressの人気プラグイン「Everest Forms」で深刻な脆弱性(CVE-2025-1128)が発見されました。パッチがリリースされているので、対象者はバージョンする事をお勧めします。

脆弱性の対象バージョン

バージョン3.0.9.4以下

脆弱性の修正バージョン

バージョン3.0.9.5以上

脆弱性CVE-2025-1128の概要

WordPress 用の Everest Forms – Contact Forms, Quiz, Survey, Newsletter & Payment Form Builder for WordPress プラグインは、3.0.9.4 までのすべてのバージョンで、EVF_Form_Fields_Upload クラスの ‘format’ メソッドにファイル タイプとパスの検証がないため、任意のファイルのアップロード、読み取り、削除に対して脆弱です。

Arkadiusz Hydzik氏によって発見され、バグバウンティ制度で$4,290.00の報奨金が支払われる予定です。

関連記事

Kubernetes Image Builderで危険度の高い脆弱性(CVE-2024-9486,CVE-2024-9594)Kubernetes Image Builderで危険度の高い脆弱性(CVE-2024-9486,CVE-2024-9594) WordPressの人気プラグイン 「Brizy – Page Builder 」で重大な脆弱性(CVE-2024-10960)WordPressの人気プラグイン 「Brizy – Page Builder 」で重大な脆弱性(CVE-2024-10960) WordPressのオンライン 教育コースを作成する人気プラグイン「LearnPress」で重大な脆弱性(CVE-2024-8522、CVE-2024-8529)が発生しています。 両脆弱性ともにCVSS スコア が最大の10と非常に危険なので対象者は今すぐアップデートが必要です。WordPressの人気プラグイン「LearnPress 」で重大な脆弱性 対象者は今すぐアップデートを FFRI AMCとOEM製品(NEC、Sky)で脆弱性|JVN#26734798FFRI AMCとOEM製品(NEC、Sky)で脆弱性|JVN#26734798 WordPressのカレンダー プラグイン「Modern Events Calendar」で高リスクの脆弱性(CVE-2024-5441 )WordPressのカレンダー プラグイン「Modern Events Calendar」で高リスクの脆弱性(CVE-2024-5441 ) GitHub Enterprise Serverで重大な脆弱性(CVE-2024-6800)GitHub Enterprise Serverで重大な脆弱性(CVE-2024-6800) 6000以上のワードプレスがサイバー攻撃とハッキング被害6000以上のワードプレスがサイバー攻撃とハッキングの被害 ニデック プレジションのベトナム子会社へ不正アクセス 情報漏洩ニデック プレジションのベトナム子会社へ不正アクセスで情報漏洩 ニデック プレジションのベトナム子会社へ不正アクセスで5万ファイルが情報漏洩ニデック プレジションのベトナム子会社へ不正アクセスで5万ファイルが情報漏洩