WP向けフォームプラグイン「Everest Forms」に脆弱性
コンテンツマネジメントシステム(CMS)の「WordPress」向けプラグイン「Everest Forms」に脆弱性が明らかとなった。脆弱性を解消したアップデートが提供されている。
同ソフトウェアは、「WordPress」において直感的にフォームを作成、設置できる無料プラグイン。10万以上のサイトで稼働している。
同プラグインにおいて、信頼できないデータのデシリアライズ処理に起因して、「PHPオブジェクトインジェクション」が可能となる脆弱性「CVE-2025-3439」が判明した。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とされている。ただし、同プラグイン単独では脆弱性の影響を受けず、別にインストールされている他プラグインやテーマに、危険なオブジェクトの連鎖が存在する場合、悪用されるおそれがあるとしている。
脆弱性の判明を受けて、開発者は2025年4月8日に同脆弱性などを解消した「Everest Forms 3.1.2」をリリースした。
同プラグインに関しては、2月にも認証なしに任意のファイルをアップロードしたり、読み取りや削除が可能となる深刻な脆弱性「CVE-2025-1128」が判明。2月20日にリリースされた「同3.0.9.5」で修正されている。
(Security NEXT - 2025/04/14 )
ツイート
PR
関連記事
Fortinet、「FortiOS」に関する複数の脆弱性を解消
「FortiSIEM」に深刻なRCE脆弱性 - 実用的な悪用コードも
オンライン会議ツール「Zoom」に「クリティカル」脆弱性
米当局、「IE」「Excel」「WinRAR」の脆弱性悪用に注意喚起
「Chrome」にアップデート - 6件のセキュリティ修正
Adobe、13製品にセキュリティパッチ - 脆弱性68件に対応
MS、8月の月例セキュリティ更新で100件以上の脆弱性に対応
「WinRAR」に深刻な脆弱性 - ゼロデイ攻撃で判明
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
Omnissaのメールセキュリティ製品にSSRFの脆弱性 - アップデートが公開
