つみかさね

CVE-2026-9843

High(8.1)

CVE-2026-9843 — WordPress Contact Form 7 Entries 未認証任意ファイル削除

公開日: 2026-06-21データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Database for Contact Form 7, WPforms, Elementor formsCrmperks〜 1.5.1

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1プラグインのバージョンを確認する
  2. 2最新バージョンへアップデートする
  3. 3サーバー上で不審なファイルの変更・削除がないか確認する

影響対象

WordPress に本プラグイン 1.5.1 以下をインストールしているサイト

補足

  • -管理者がトリガーとなるため、フォームエントリを処理する前に不審なデータがないか確認することを推奨します
CVEWordPressプラグインファイル削除パストラバーサル

概要

WordPress プラグイン Database for Contact Form 7, WPforms, Elementor forms のバージョン 1.5.1 以下において、パストラバーサルによる任意ファイル削除の脆弱性が確認されました。

view_page 関数においてファイルパスの検証が不十分なため、未認証の攻撃者が細工したフォームエントリを作成できます。管理者がその不正なエントリを閲覧・編集した際、PHP のブラケットパーサーが攻撃者の細工した JSON キーを処理し、パストラバーサル(../ を含むパス)で指定されたファイルが削除されます。

wp-config.php などの重要ファイルを削除した場合、WordPress を初期化状態にしてリモートコード実行を誘発できる可能性があります。

CVSSベクトル

指標
攻撃ベクトル(AV)ネットワーク (N)
攻撃複雑度(AC)高 (H)
必要権限(PR)不要 (N)
ユーザー操作(UI)必要 (R)
スコープ(S)変更あり (C)
機密性(C)高 (H)
完全性(I)高 (H)
可用性(A)高 (H)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Database for Contact Form 7, WPforms, Elementor formsCrmperks1.5.1 以下

修正バージョンと回避策

推奨対応:

  • プラグインを最新バージョンへ更新する
  • フォームエントリの閲覧前に不審なエントリが含まれていないか確認する

関連リンク

データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-11911WordPress Simple File List 任意ファイル削除CVSS 7.5CVE-2026-11912WordPress Simple File List 任意ファイル変更CVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-9843
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。