ドラッグ&ドロップなどの直感的な操作でお問い合わせフォームなどを作ることができる、大人気のwordpressプラグイン「Ninja Forms」に重大な脆弱性が発見されました。
アクティブインストール数が60万を超えるプラグインで、非常に影響が広いものとなります。
EC-CUBEを使ったECサイトの運用企業様も、自社のコーポレートサイト等でお問い合わせフォームを利用しているかと思います。
Ninja Formsを導入しているか、以下に記載する該当バージョンに当てはまるか、チェックして頂ければと思います。
1.どのようなインシデントか?
インシデントの種類
WordPressプラグイン「Ninja Forms」における、未認証のPHPオブジェクト注入の脆弱性(CVE-2025-9083)。
WordPressサイトに入っている既存のクラスに対して、特定の処理を実行させることで攻撃を行います。
ターゲット
Ninja Forms プラグインバージョン3.11.0までのもの。
原因
プラグインがユーザー入力を安全に検証せずにdeserializeすることで発生。
特に「Repeatable Fieldset」フィールドを使った入力フィールドに、悪意のあるPHPオブジェクトをシリアライズした文字列を入力・送信することで、そのクラスを経由した既存クラスの特定のメソッド(マジックメソッド)を実行することができます。
2.影響を受けるシステム
Ninja Forms プラグイン バージョン3.11.0までのWordPressサイト。
特に、WPScanやRapid7などのガジェットが存在する場合。
3.対策
プラグインをバージョン3.11.1以降に更新。
これにより脆弱性が修正されるため、サイト管理者は速やかなアップデートを推奨。
4.この脆弱性が許可すること
POPチェーン(Property Oriented Programming)が存在する場合、攻撃者は任意のファイルを削除したり、機密データを取得したり、サイト上で任意のコードを実行する可能性がある。
ガジェットが存在しない場合は直接的な影響はない。
この脆弱性は高セキュリティリスク(CVSSスコア8.1)であり、特にWordPressサイトの管理者は迅速な対応が求められます。