当社で制作したWordpressを利用したウェブサイトにおいて、メールフォームを設置しているお客様の多くは日本製のプラグイン「MW WP Form」を利用しています。
2023年5月15日、このMW WP Formにディレクトリトラバーサルの脆弱性が発見されました。
MW WP Formの開発元により、脆弱性に対応したMW WP Form 4.4.3がリリースされています。
WordPressをご利用のお客様で、「MW WP Form 4.4.2未満」を導入しているWebサイトをご利用のお客様はアップデートしてください。
MW WP Formの開発元の株式会社モンキーレンチからのリリース情報
※WordPress保守契約をご利用のお客様または納品後3か月以内のお客様は既に当社で対応済です。
脆弱性の概要
4.4.2未満のMW WP Formには、ディレクトリトラバーサルの脆弱性が存在しています。
ディレクトリトラバーサルの脆弱性とは
ファイルやディレクトリを操作する際に、不正なパスを挿入されることによって意図しないディレクトリやファイルを参照、操作されてしまう問題です。悪意あるフォーム送信者は本来参照できないサーバー上のファイルを参照することができ、結果としてサーバのリソース枯渇による DoS または WordPress の再インストール(RCE)につながります。
アップデート対応について
WordPress保守契約をご利用のお客様または納品後3か月以内のお客様
既に当社にて対応済です。
納品後3か月以上のお客様でWordPress保守契約をご利用されていないお客様
お客様ご自身でアップデートしてください。
管理者権限のユーザーIDでWordpressにログインした後、左メニューのプラグイン→インストール済みプラグインへ移動します。プラグイン一覧から、MW WP Formに「新バージョンの MW WP Form が利用できます。バージョン 4.4.5 の詳細を表示するか、更新してください。」と表示されていますので「更新」をクリックしてください。
