WordPress Forminator の脆弱性 CVE-2025-6463 が FIX:60万以上のサイトに乗っ取りの可能性

Over 600K WordPress Sites at Risk Due to Critical Plugin Vulnerability

2025/07/02 gbhackers — セキュリティ企業 Wordfence と独立系研究者が発表したのは、人気の WordPress プラグイン Forminator に存在する深刻なセキュリティ脆弱性により、60 万以上のグローバル・サイトがリモートからの乗っ取りに直面しているという状況である。この脆弱性は CVE-2025-6463 として追跡され、CVSS スコア 8.8 (High) と評価されている。この脆弱性の悪用に成功した攻撃者は、影響を受けるサーバ上で任意のファイル削除を達成し、サイト全体の乗っ取りを引き起こす可能性を手にする。

脆弱性の仕組み

この脆弱性が影響を及ぼす範囲は、Forminator のバージョン 1.44.2 以下であり、その原因は、フォーム送信処理時におけるファイル削除の不十分な検証にある。悪意のファイル・パスを取り込んだフォームを送信する攻撃者は、それが管理者により手動削除されるとき、または、プラグインの自動設定で削除されるときに、指定したファイルの削除を達成する。

FieldValue
CVE-IDCVE-2025-6463
Plugin NameForminator Forms – Contact Form, Payment Form & Custom Form Builder
Affected Versions<= 1.44.2
Patched Version1.44.3
Vulnerability TypeUnauthenticated Arbitrary File Deletion
CVSS Rating8.8 (High)

この問題が深刻なのは、”wp-config.php” などの重要ファイルを削除できる点にある。それらのファイルが削除されると、WordPress はセットアップ・モードへと移行するため、データベース接続を介した攻撃者による、サイトの完全な乗っ取りにいたる可能性がある。

Wordfence は、「未認証の脅威アクターが、フォーム送信時に任意のファイル・パスを指定できるため、送信内容が削除されると、標的ファイルも削除される。この手口により、”wp-config.php” などの重要ファイルが削除されると、リモート・コード実行が引き起こされる恐れがある」と説明している。

技術詳細とパッチ

この脆弱性の原因は、entry_delete_upload_files() 関数におけるチェック不足にある。具体的に言うと、ファイル削除の範囲が、WordPress のアップロード・ディレクトリなどの、正当なアップロード・フィールドのみに制限されないという欠陥があった。

すでに提供されている修正パッチでは、指定された “アップロード”または “署名” フィールドからアップロードされたファイルのみが削除されるようになり、さらにアップロード・ディレクトリ内に存在するファイルのみが削除されるよう変更された。また、ファイル名はサニタイズされ、パスは正規化されて悪用を防止するよう修正されている。

2025年6月30日の時点で、Forminator 開発元である WPMU DEV は、修正バージョン 1.44.3 をリリースしている。その一方で、6月26日に Wordfence は、プレミアム・ユーザー向けのファイアウォール・ルールを展開している。この保護は、無料ユーザーにも、7月26日までに適用される予定である。

この脆弱性は、セキュリティ研究者である Phat RiO – BlueRock により発見され、Wordfence のバグ報奨金プログラムを通じて報告され、同プログラム史上最高額の $8,100 の報奨金が支払われたという。

管理者が行うべき対応
  • Forminator のバージョン 1.44.3 以降へと、速やかにアップデートする。
  • フォーム送信および削除設定に関する、不審な動作の有無を確認する。
  • ファイル・システムの変更を監視し、Wordfence などのセキュリティ・プラグインを導入する。
  • 重要ファイルをバックアップし、復旧手順を事前にテストする。

この脆弱性が浮き彫りにするのは、WordPress エコシステムにおいては、プロアクティブなプラグイン管理と堅牢なセキュリティ対策が重要なことである。

WordPress のプラグイン Forminator に、深刻な脆弱性が発見されました。攻撃者はフォームを悪用して、重要なファイルをリモートから削除する可能性を得るとのことです。もし “wp-config.php” が削除されると、サイト全体が乗っ取られる恐れがあるため、きわめて危険であると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、WordPress で検索も、ご参照ください。