10,000以上のWordPressサイトが、HT Contact Form Widget for Elementor Page Builder & Gutenberg Blocks & Form Builderプラグインで発見された3つの重大なセキュリティ脆弱性により、サイト全体の乗っ取りに対して脆弱な状態に置かれています。
これらの脆弱性は、任意ファイルアップロード、任意ファイル削除、任意ファイル移動を含み、認証されていない攻撃者が悪意のあるコードを実行したり、重要なファイルを削除または新しい場所に移動したりすることを可能にしていました。
Wordfenceの新たなアドバイザリによると、これら3つの問題すべてがリモートコード実行およびサイト全体の侵害を可能にしていました。
脆弱性によりサイト全体の乗っ取りが可能に
3つの中で最も深刻なCVE-2025-7340は、CVSSスコア9.8を持っています。プラグインのtemp_file_upload()関数で検証が行われていなかったため、攻撃者があらゆる種類のファイル(実行可能なPHPスクリプトを含む)をアップロードできました。これらのファイルは公開ディレクトリに保存され、直接アクセスや実行が可能でした。
2つ目の脆弱性であるCVE-2025-7341は、temp_file_delete()関数を通じて任意のファイル削除を可能にしていました。攻撃者はwp-config.phpファイルを削除し、サイトをセットアップモードにして新しいデータベースに誘導することで完全な制御を得ることができました。
3つ目の脆弱性CVE-2025-7360は、handle_files_upload()関数を使った任意ファイル移動に関するものでした。この関数はファイル名の適切なサニタイズを行っておらず、攻撃者が重要なファイルを移動し、削除時と同様の侵害を引き起こすことが可能でした。
WordPressプラグインのセキュリティリスクについてさらに読む:Chaty Proプラグインの脆弱性で18,000のWordPressサイトが危険に
サイト運営者への推奨対応
これらの問題は、研究者vgo0氏とPhat RiO氏によってWordfenceのバグ報奨金プログラムを通じて報告されました。Wordfenceは7月8日にプラグイン開発者HasTech ITに連絡し、わずか5日後の7月13日に修正パッチがリリースされました。
「これらの脆弱性が非常に重大であることから、WordPressユーザーはできるだけ早くHT Contact Formの最新版にアップデートされているか確認することを推奨します」とWordfenceは述べています。
保護を維持するため、同社は以下の対策も推奨しています:
-
プラグインやテーマを常に最新の状態に保つ
-
ベンダーのパッチを迅速に適用する
-
ファイルアップロードやディレクトリトラバーサル保護機能を持つセキュリティソリューションを利用する
「このプラグインを利用している方をご存じの場合は、このアドバイザリを共有し、サイトの安全を確保することを推奨します。これらの脆弱性は重大なリスクとなります」とWordfenceは締めくくっています。
翻訳元: https://www.infosecurity-magazine.com/news/flaws-wordpress-plugin-expose/