Defiantは2022年6月16日(米国時間)、人気の高いWordPressのプラグイン「Ninja Forms」に深刻度が緊急(Critical)の脆弱性が存在すると伝えた。このプラグインは100万を超えるアクティブインストールがあると推測されており、影響範囲は広大。

  • PSA: Critical Vulnerability Patched in Ninja Forms WordPress Plugin

    PSA: Critical Vulnerability Patched in Ninja Forms WordPress Plugin

この脆弱性が悪用された場合、攻撃者によって別のPOPチェーンが保持されているWebサイトにおいて任意コードの実行や任意ファイルの削除が実施される危険性があるとされている。さらに、この脆弱性はすでに悪用が確認されている点に注意が必要。影響を受けるWebサイトが多いことから今後もサイバー攻撃が継続する可能性が高く、該当するプラグインを使用している場合には迅速に対処を行うことが望まれる。

脆弱性が存在するとされる「Ninja Forms Contact Form」のバージョンは次のとおり。

  • 3.6から3.6.10までのバージョン
  • 3.5から3.5.8.3までのバージョン
  • 3.4から3.4.34.1までのバージョン
  • 3.3から3.3.21.3までのバージョン
  • 3.2から3.2.27までのバージョン
  • 3.1から3.1.9までのバージョン
  • 3.0から3.0.34.1までのバージョン

問題が修正されたバージョンは次のとおり。

  • 3.6.11
  • 3.5.8.4
  • 3.4.34.2
  • 3.3.21.4
  • 3.2.28
  • 3.1.10
  • 3.0.34.2

この脆弱性は深刻度がCVSSスコア値9.8で緊急(Critical)と分析されている。該当するプラグインを使っている場合は、ただちにバージョンおよびセキュリティ情報を確認するとともに、迅速にアップデートを実施することが望まれる。