WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を：セキュリティニュースアラート

JPCERT/CCは、WordPress用プラグイン「Forminator」に複数の脆弱性が存在すると伝えた。これらの中にはCVSS 9.8に分類されるものも含まれるため注意が必要だ。

[後藤大地，有限会社オングス]

　JPCERTコーディネーションセンター（JPCERT/CC）は2024年4月18日、WPMU DEVが提供する「WordPress」用プラグイン「Forminator」に複数の脆弱（ぜいじゃく）性が存在すると伝えた。

WordPressのForminatorにCVSS 9.8の脆弱性　急ぎ対処を

　ForminatorはWordPressで制作したWebサイトに問合せフォームや支払いフォームなどを作成できるプラグインだ。今回見つかった脆弱性の中には、CVSS v3.0スコアで9.8に分類されているものもあるため注意が必要となる。

　これらの脆弱性を利用されると、以下の影響を受ける可能性がある。

• 遠隔地からの不正アクセスによりサーバ上のファイルから機密情報を窃取される
• 当該製品を利用しているWebサイトが改ざんされたり、サービス運用が妨害される
• 管理画面へのアクセス権を持つユーザーによって、データベースから情報が取得または改ざんされる
• 遠隔の第三者によってユーザー情報などが抽出されたり、Webブラウザ上の表示が改ざんされる

　影響を受けるバージョンは以下の通りだ。

• Forminator 1.29.0より前のバージョン（CVE-2024-28890）
• Forminator 1.29.3より前のバージョン（CVE-2024-31077）
• Forminator 1.15.4より前のバージョン（CVE-2024-31857）

　報告されている脆弱性は以下の通りだ。

• CVE-2024-28890：　危険なファイルを無制限アップロードされる脆弱性。CVSS v3.0スコアは9.8
• CVE-2024-31077：　SQLインジェクションの脆弱性。CVSS v3.0スコアは7.2
• CVE-2024-31857：　クロスサイトスクリプティング（XSS）の脆弱性。CVSS v3.0スコアは6.1

　これらの脆弱性が修正されたバージョンは既に公開されており、JPCERT/CCは開発者が提供する情報を基にアップデートするよう呼び掛けている。