広く使用されているForminator WordPressプラグインに深刻な脆弱性が公開され、ウェブサイトが任意のファイル削除やサイト乗っ取りのリスクに晒されています。
この脆弱性はバージョン1.44.2までに影響し、認証されていないユーザーがフォーム送信時に任意のファイルパスを含めることを可能にします。これらのファイルは、管理者による手動削除やプラグイン設定による自動削除で、フォーム送信が削除されると同時に削除されます。
この脆弱性はCVE-2025-6463として追跡されており、セキュリティ研究者のPhat RiO氏、BlueRock氏によって発見され、Wordfenceバグ報奨金プログラムを通じて報告されました。
名前入力欄などの通常のフィールドに偽装したファイルパスを送信することで、攻撃者はwp-config.phpを含む重要な設定ファイルを標的にすることができます。このファイルが削除されると、WordPressサイトはセットアップモードに入り、攻撃者が自分の管理するデータベースに接続することでサイトを乗っ取ることが可能になります。これにより、サイト全体の乗っ取りやリモートコード実行が発生する可能性があります。
WordPressプラグインのセキュリティ脅威についてさらに読む:新たなWordPressマルウェアがプラグインを装う
技術的には、この脆弱性はプラグインのコード内にある2つの不具合なコンポーネントに起因しています。
まず、フォームエントリを保存する関数に入力のサニタイズ処理がなかったため、攻撃者が予期しないフィールドにファイル配列を送信できました。
次に、削除ロジックがファイルの種類、拡張子、アップロードディレクトリを検証せず、ファイル配列として構成されていれば無差別にファイルを削除していました。
ベンダーのWPMU DEVは、2025年6月23日に連絡を受けた後、迅速に対応しました。
6月25日にWordfenceの脆弱性管理ポータルに登録後、完全な情報開示を受け、5日後にパッチをリリースしました。この修正により、許可されたフィールドタイプのチェックが導入され、ファイルパスがWordPressのアップロードディレクトリ内に制限されるようになりました。
ユーザーは直ちにForminatorバージョン1.44.3へのアップデートが強く推奨されます。この脆弱性は、フォームの設定方法に関わらず、プラグインがインストールされているすべてのサイトに影響します。
悪用には送信されたデータの削除が必要ですが、研究者はスパム的なエントリがしばしば削除対象となるため、攻撃者にとって魅力的な攻撃経路になっていると警告しています。
翻訳元: https://www.infosecurity-magazine.com/news/wordpress-plugin-flaw-sites-file/