無料スキャン
HIGHCVE-2026-22460CVSS 8.6

WordPress FormGent プラグイン <= 1.7.0 - 任意のファイル削除の脆弱性

プラットフォーム

wordpress

コンポーネント

formgent

修正版

1.7.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2026-22460は、wpWax FormGentにおいてPath Traversal(ディレクトリトラバーサル)脆弱性が存在します。この脆弱性は、攻撃者が本来アクセスできないファイルを読み出すことを可能にし、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは0.0.0から1.7.0までの間です。最新バージョンへのアップデートにより、この脆弱性は修正されています。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

このPath Traversal脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルにアクセスできる可能性があります。例えば、設定ファイル、ログファイル、または他の機密情報を含むファイルが読み出される可能性があります。攻撃者は、この脆弱性を利用して、Webサイトの機密情報を盗み出し、さらなる攻撃に利用する可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。

悪用の状況

この脆弱性は2026年3月5日に公開されました。現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites utilizing the wpWax FormGent plugin, particularly those running versions 0.0.0 through 1.7.0, are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable. Sites with sensitive data stored in configuration files or accessible via the web server are also at higher risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/formgent/*

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/formgent/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.06% (19% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能yes
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H8.6HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
なし — 機密性への影響なし。
Integrity
なし — 完全性への影響なし。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントformgent
ベンダーwordfence
影響範囲修正版
0 – 1.7.01.7.1

パッケージ情報

アクティブインストール数
1K既知
プラグイン評価
4.4
WordPressが必要
6.6+
動作確認済みバージョン
6.9.4
PHPが必要
7.4+

弱点分類 (CWE)

CWE-22

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日
未パッチ — 公開から80日経過

緩和策と回避策

この脆弱性への最も効果的な対策は、wpWax FormGentを最新バージョンにアップデートすることです。アップデートが困難な場合は、Webアプリケーションファイアウォール(WAF)を使用して、ディレクトリトラバーサル攻撃をブロックすることを検討してください。また、WordPressのファイルパーミッションを適切に設定し、不要なファイルのアクセスを制限することも有効です。ファイルアクセスを厳密に制限するルールを実装することで、攻撃の影響範囲を最小限に抑えることができます。

修正方法

既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-22460 — Path Traversal in wpWax FormGentとは何ですか?

CVE-2026-22460は、wpWax FormGentプラグインのバージョン0.0.0から1.7.0までの間で、攻撃者が任意のファイルを読み出すことを可能にするPath Traversal脆弱性です。

CVE-2026-22460 in wpWax FormGentの影響はありますか?

wpWax FormGentのバージョン0.0.0から1.7.0を使用している場合、この脆弱性により、サーバー上の機密情報が漏洩する可能性があります。

CVE-2026-22460 in wpWax FormGentを修正するにはどうすればよいですか?

wpWax FormGentを最新バージョンにアップデートすることで、この脆弱性を修正できます。

CVE-2026-22460は積極的に悪用されていますか?

現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2026-22460のwpWax FormGent公式アドバイザリはどこで入手できますか?

wpWax FormGentの公式アドバイザリは、プラグインの公式サイトまたはWordPressプラグインディレクトリで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索