WordPress脆弱性情報：Ninja Forms Contact Formプラグイン

※2022/6/17情報を最新のものに加筆・修正しました。

WordPressプラグインの脆弱性情報です。

Ninja Formsプラグインに、脆弱性存在の報告

Ninja Forms Contact Formプラグインにおいて、脆弱性の存在が確認されました。
有効インストール数100万件を超えるプラグインで、日本でもその操作性から、Contact Form 7ではなくこちらを選ぶ方も多くいるプラグインです。

 開示された脆弱性は、CVSS スコア9.8とクリティカルなものです。

脆弱性の内容は、PHPにおけるオブジェクトインジェクションです。
これは外部からオブジェクトを注入する攻撃となり、リスクの高いものです。

影響を受けるバージョン

脆弱性の影響を受けるプラグインのバージョンは、3.6.10以前のバージョンで、以下の通りです。
3.6-3.6.10、3.5-3.5.8.3、3.4-3.4.34.1、3.3-3.3.21.3、3.2-3.2.27、3.1-3.1.9、3.0-3.0.34.1

完全パッチバージョン

脆弱性の存在箇所について、修正がなされたバージョンは以下の通りです。
3.0.34.2、3.1.10、3.2.28、3.3.21.4、3.4.34.2、3.5.8.4、3.6.11

WordPress側で、強制的な更新が行われているという情報もありますが、対象のプラグインをお使いの方は必ず確認し、早急に対応することをお勧めします。