無料スキャン
HIGHCVE-2026-5396CVSS 8.2

CVE-2026-5396: 認証バイパスの脆弱性 in Fluent Forms

プラットフォーム

wordpress

コンポーネント

fluentform

修正版

6.2.0

NVDで見る
保存

Fluent Formsプラグイン(WordPress)において、認証バイパスの脆弱性(CVE-2026-5396)が発見されました。この脆弱性は、攻撃者がform_idパラメータを操作することで、本来アクセス権限がないフォームの送信データを不正に操作することを可能にします。影響を受けるバージョンは0.0.0から6.1.21までです。バージョン6.2.0へのアップデートで修正されています。

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はFluent Forms Managerへのアクセス権限が特定のフォームに制限されている場合でも、他のフォームの送信データを閲覧、変更、削除することが可能になります。これにより、機密情報を含むフォームデータが漏洩したり、改ざんされたり、完全に削除される可能性があります。攻撃者は、フォームの送信データを改ざんすることで、不正な情報を収集したり、システムを混乱させたりする可能性があります。この脆弱性は、WordPressサイトのセキュリティ全体に深刻な影響を与える可能性があります。

悪用の状況

この脆弱性は、2026年5月14日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)に登録されていません。EPSS(Exploit Prediction Score System)のスコアは、公開情報が少ないため、評価待ちです。公開されているPOC(Proof of Concept)は確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の情報を収集することが重要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CISA SSVC

悪用状況none
自動化可能yes
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N8.2HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントfluentform
ベンダーwordfence
最小バージョン0.0.0
最大バージョン6.1.21
修正版6.2.0

弱点分類 (CWE)

CWE-639

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

Fluent Formsプラグインをバージョン6.2.0以降にアップデートすることが最も効果的な対策です。アップデートできない場合は、WAF(Web Application Firewall)を使用して、form_idパラメータの不正な操作を検知・ブロックするルールを実装することを検討してください。また、Fluent Forms Managerへのアクセス権限を厳格に管理し、不要な権限を付与しないように注意してください。さらに、WordPressのセキュリティプラグインを導入し、定期的にセキュリティスキャンを実行することで、脆弱性を早期に発見し、対応することができます。

修正方法

バージョン 6.2.0、またはそれ以降の修正バージョンにアップデートしてください

よくある質問

CVE-2026-5396 — 認証バイパスの脆弱性 in Fluent Formsとは何ですか?

CVE-2026-5396は、Fluent Formsプラグイン(WordPress)において、攻撃者がform_idパラメータを操作することで、権限外のフォームの送信データを不正に操作できる脆弱性です。

CVE-2026-5396 in Fluent Formsの影響を受けていますか?

Fluent Formsプラグインのバージョンが0.0.0から6.1.21の場合は、影響を受けています。バージョン6.2.0以降にアップデートしてください。

CVE-2026-5396 in Fluent Formsを修正するにはどうすればよいですか?

Fluent Formsプラグインをバージョン6.2.0以降にアップデートしてください。アップデートできない場合は、WAFを使用して不正なアクセスをブロックするルールを実装してください。

CVE-2026-5396は積極的に悪用されていますか?

現時点では、公開されているPOCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。最新の情報を収集し、対策を講じることを推奨します。

CVE-2026-5396に関するFluent Formsの公式アドバイザリはどこで入手できますか?

Fluent Formsの公式アドバイザリは、Fluent FormsのウェブサイトまたはWordPressのプラグインディレクトリで確認できます。最新の情報は、Fluent Formsの公式情報を参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン
稼働中無料スキャン

WordPressプロジェクトを今すぐスキャン — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...