まとめ記事:WordPress「Contact Form 7 Redirection」プラグインに高リスク脆弱性、30万サイトに影響
影響範囲
人気の「Contact Form 7」拡張プラグイン Redirection for Contact Form 7 に深刻な脆弱性が発見され、30万以上のWordPressサイト が影響を受けています。CVSSスコア 8.8/10(高危険度) と評価されており、放置すればリモートコード実行(RCE)攻撃に利用される恐れがあります。
脆弱性の内容
問題はプラグイン内部の delete_associated_files 関数 に存在します。
この関数が ファイルパスの検証を不十分に行っていた ため、攻撃者は任意のファイルパスを指定して削除可能に。
例:../../wp-config.php を指定すると、サイトの重要設定ファイル wp-config.php が削除される → 攻撃者による 不正コード実行(RCE) が可能になります。
Wordfenceのアドバイザリでも「認証不要で攻撃でき、適切なファイルを削除すれば簡単にRCEにつながる」と警告されています。
影響バージョン
- v3.2.4 までの全バージョン が対象
- 最新版にアップデートすることで修正可能
Redirection for Contact Form 7 とは
- Contact Form 7 に リダイレクト機能 を追加
- 入力データのDB保存、メール通知、スパムブロックなどを提供
- 利便性が高く、多くのユーザーに利用されている一方で、今回の脆弱性により 大規模なリスク が発生
対策と推奨アクション
- 今すぐプラグインを最新版へアップデート
- 不要な場合は一時的に無効化・削除も検討
- 定期的なWordPressサイトのバックアップとセキュリティ監視を徹底
まとめ
「Contact Form 7 Redirection」プラグインは利便性の高さから広く普及していますが、今回の脆弱性はサイト乗っ取りにつながる重大なリスクです。運営者は必ずバージョンを確認し、最新の修正版へアップデートすることで被害を未然に防ぐ必要があります。
