Defiantは7月9日(米国時間)、「200,000 WordPress Sites Affected by Arbitrary File Deletion Vulnerability in SureForms WordPress Plugin」において、WordPressのノーコードフォームビルダープラグイン「SureForms」から重大な脆弱性が発見されたと報じた。

この脆弱性が悪用されると、遠隔から認証されていない第三者に任意のファイルを削除され、その結果としてリモートコード実行(RCE: Remote Code Execution)につながる可能性がある。

  • 200、000 WordPress Sites Affected by Arbitrary File Deletion Vulnerability in SureForms WordPress Plugin

    200,000 WordPress Sites Affected by Arbitrary File Deletion Vulnerability in SureForms WordPress Plugin

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-6691 - ファイル名およびパスを外部制御できる脆弱性で、遠隔から認証されていない第三者が任意のファイルを削除することを可能にする。設定ファイル(wp-config.phpなど)を削除された場合、リモートコード実行(RCE)につながる可能性がある(CVSSスコア: 8.1)
  • CVE-2025-6742 - PHPオブジェクトインジェクションの脆弱性。WebサイトにPOPチェーンを含むプラグインまたはテーマが存在する場合、遠隔から認証されていない第三者が任意のコードを実行できる可能性がある(CVSSスコア: 7.5)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • SureForms 1.7から1.7.3までのバージョン
  • SureForms 1.6から1.6.4までのバージョン
  • SureForms 1.5
  • SureForms 1.4から1.4.4までのバージョン
  • SureForms 1.3から1.3.1までのバージョン
  • SureForms 1.2から1.2.4までのバージョン
  • SureForms 1.1から1.1.1までのバージョン
  • SureForms 1.0から1.0.6までのバージョン
  • SureForms 0.0から0.0.13までのバージョン

脆弱性を修正した製品

脆弱性を修正したとされる製品およびバージョンは次のとおり。

  • SureForms 1.7.4
  • SureForms 1.6.5
  • SureForms 1.5.1
  • SureForms 1.4.5
  • SureForms 1.3.2
  • SureForms 1.2.5
  • SureForms 1.1.2
  • SureForms 1.0.7
  • SureForms 0.0.14

影響と対策

SureFormsは本稿執筆時点において20万サイト以上に利用されている人気のプラグイン。6月30日以降に公開されたアップデートを適用していない場合、脆弱性の影響を受ける可能性がある。

セキュリティ脆弱性の深刻度はいずれも重要(Important)と評価されており注意が必要。当該プラグインを利用しているWordPressサイトの管理者には、速やかにプラグインをアップデートすることが推奨されている。