2025年8月12日、Wordfence社は、WordPressの人気プラグイン「Database for Contact Form 7, WPforms, Elementor forms」に深刻な脆弱性(CVE-2025-7384)が存在すると公表しました。 この脆弱性は、CVSSスコアで9.8(致命的)と評価されており、バージョン1.4.3以前のすべてに影響します。
このプラグインは、Contact Form 7、WPforms、Elementor Formsなどのフォームプラグインと連携し、送信されたデータをWordPressのデータベースに自動保存する機能を提供しています。
全世界で70,000以上のアクティブインストールがあり、多くのウェブサイト運営者にとって重要なツールとなっています。
脆弱性の詳細:認証不要のPHPオブジェクトインジェクション
問題の核心は、get_lead_detail 関数における信頼されていないデータのデシリアライズによるPHPオブジェクトインジェクションです。この欠陥により、攻撃者は認識する任命する
さらに、このプラグインがContact Form 7と併用されている場合、プロが存在するため、攻撃者は任命するすることができ、特にWordPress構成ファイルである wp-config.php を削除された場合、サイト全体がダウンし、リモートコード実行やサイトの乗っ取りが発生する恐れがあります。
影響
この脆弱性が悪用されると、以下のような重大な被害が発生する可能性があります:
-
wp-config.phpを含む重要なファイルの削除 -
サイト全体の停止(DoS攻撃)
-
WordPressの再インストールを強制され、攻撃者による完全な乗っ取り
-
リモ
また、認証不要で攻撃可能であることから、インターネット上で公開されているWordPressサイトの多くが即座に危険にさらされる状況となっています。
対応方法:早急なアップデートを推奨
この脆弱性は、バージョン1.4.4で修正済みです。開発者は、すべてのユーザーに対して直ちにアップデートを実施するよう呼びかけています。現在も旧バージョン(1.4.3以下)を使用している場合は、緊急の対応が必要です。
参照
関連記事
主要なLLMに有効なプロンプト インジェクション「Policy Puppetry」-サイバー攻撃への悪用が容易
Google Formsを悪用し無料仮想通貨プレゼントを装ったサイバー犯罪 キャンペーン
WordPressの人気プラグイン Everest Formsで深刻な脆弱性(CVE-2025-1128)
Adobe Experience Manager Formsに重大な脆弱性(CVE-2025-54253,CVE-2025-54254)
WordPress(ワードプレス)の複数のプラグインにサプライチェーン攻撃によるバックドアが仕掛けられる
Apache Parquetで重大な脆弱性、対象者はアップデートを(CVE-2025-30065)
Adobe(アドビ) Experience Manager Forms(JEE)の脆弱性 CVE-2025-54253がCISAのKEVに登録-至急アップデートを
JavaScriptのForm-Dataライブラリで重大な脆弱性(CVE-2025-7783)
-200x200.png)
Axiosの依存パッケージに深刻な脆弱性、HTTPパラメータ汚染やリクエスト操作の危険性(CVE-2025-7783)
