【plugin】『Forminator Forms – Contact Form, Payment Form & Custom Form Builder』(versions 1.44.2 以下) Unauthenticated PHP Object Injection (PHAR) Triggered via Administrator Form Submission Deletionの脆弱性
脆弱性の概要
- プラグイン/テーマ名: Forminator Forms – Contact Form, Payment Form & Custom Form Builder
- 影響バージョン: 1.44.2 以下
- 脆弱性タイプ: Unauthenticated PHP Object Injection (PHAR) Triggered via Administrator Form Submission Deletion
- CVE ID: CVE-2025-6464
- 重大度: 高
- 公式ページURL: https://wordpress.org/plugins/forminator/
脆弱性の解説
今回お伝えするのは、WordPressプラグイン「Forminator Forms」における深刻な脆弱性についてです。
この脆弱性は、管理者がフォームを削除する際に、認証されていないPHPオブジェクトインジェクションが発生する可能性があるというものです。
攻撃者は、この脆弱性を利用して、任意のコードを実行したり、システムに不正アクセスを試みたりすることができます。
影響を受けるバージョンは1.44.2以下であり、ユーザーは早急に対策を講じる必要があります。
脆弱性の背景
この脆弱性は、PHPオブジェクトインジェクションという技術的な問題に起因しています。
PHPオブジェクトインジェクションは、シリアライズされたデータを不適切に処理することで発生することが多く、過去にも同様の脆弱性が報告されています。
このような脆弱性は、攻撃者にとって非常に魅力的な攻撃ベクトルとなり得るため、特に注意が必要です。
対策方法と影響
この脆弱性に対する最も効果的な対策は、プラグインを最新のバージョン1.44.3にアップデートすることです。
アップデートを行わない場合、攻撃者による不正アクセスやデータの改ざんといったリスクが高まります。
したがって、影響を受けるバージョンを使用しているユーザーは、直ちにアップデートを実施することを強くお勧めします。
専門用語の解説
- PHPオブジェクトインジェクション: PHPのシリアライズされたデータを不正に操作することで、任意のコードを実行させる攻撃手法。
- シリアライズ: データを保存や転送が可能な形式に変換すること。
- デシリアライズ: シリアライズされたデータを元のオブジェクトに戻すこと。
- CVSS: Common Vulnerability Scoring Systemの略で、脆弱性の深刻度を評価するための基準。
情報元
This record contains material that is subject to copyright
Copyright 2012-2025 Defiant Inc.
License:Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
