WordPressフォームプラグインに重大な脆弱性、最大20万インストールに影響(MW WP Form)

2023年12月7日

Wordfenceのセキュリティサイトから、MW WP Form プラグインに重大なセキュリティ上の欠陥があり、バージョン 5.0.1 以前が影響を受けると発表されています。
この脆弱性により、潜在的に悪意のあるPHPバックドアを含む任意のファイルをアップロードすることで、プラグインを悪用し、これらのファイルをサーバー上で実行することが可能になります。

MW WP Form Pluginとは

MW WP Formプラグインはショートコードビルダーを使ってWordPress ウェブサイトのフォーム作成を簡単にできるプラグインとして人気です。

MW WP Formは開発を中止しています。

MW WP Formの開発は脆弱性対応を除き停止しています。新しい機能が追加されたり、WordPress がアップデートするたびに動作確認をすることはありません。他のプラグインへの乗り換えをご検討ください。

MW WP Form公式サイトアナウンス

ホーム

このプラグインを使えば、ユーザーは様々なフィールドやオプションを持つフォームを簡単に作成し、カスタマイズすることができる事が人気です。

このプラグインには多くの機能があり、データ収集の目的で [mwform_file name=”file”] ショートコードを使ってファイルをアップロードすることができます。
今回の脆弱性で悪用されるのは、この特定の機能。認証されていない任意のファイルアップロードの脆弱性

未認証とは、攻撃者がウェブサイトに登録する必要がないこと、あるいはユーザー権限レベルに付随するいかなる権限レベルも必要としないことを意味します。

弊社が構築しているサイトでは導入した事はありませんが、開発が中止されているフォームは別のフォームへとご変更ください。

リビジョン株式会社では、WordPressの構築や保守も行なっておりますので、お気軽にご相談ください


Recent Entries

2025年末までにすべてのGoogle reCAPTCHAキーをGoogle Cloudプロジェクトに移行が必要に。対象アカウントは順次メールで通知
ElementorがWordPressのAIサイトプランナーを発表。今のところ利用料は無料
WordPress用プラグインActivity Log WinterLockにおけるクロスサイトリクエストフォージェリの脆弱性
独立開業、不動産・内科・建築事務所、会計事務所など新規契約でAmazonギフト券プレゼントキャンペーン
2024年のECサイト売上、2025年にオンラインショップを始めたい個人・企業様の参考に。売上比較を成功事例・失敗事例を公開


CONTACT

Webサイトリニューアルから新規ホームページ制作・運営・保守まで、目的達成を実現いたします。
各種Webサイト・ECサイト制作、広告代行に関するご相談、ご質問などお気軽にお問合せ下さい。

Tel : 03-5324-2318 / Email : info@reinc.jp

各種お問合せはこちらから