Contact Form by Bit Form <= 2.17.4 - 認証済み (管理者以上) サーバーサイドリクエストフォージェリ

このSSRF脆弱性は、攻撃者が内部ネットワークにアクセスし、機密情報を盗み出す可能性があります。例えば、内部APIを呼び出して認証情報を取得したり、データベースにアクセスしてデータを改ざんしたりすることが考えられます。また、Multisite環境では、複数のサイトが影響を受ける可能性があります。攻撃者は、ウェブアプリケーションを介して内部サービスに対して任意のHTTPリクエストを送信できるため、内部インフラストラクチャへの攻撃の足がかりとして利用されるリスクがあります。この脆弱性は、WordPressの他のプラグインやテーマを介して攻撃される可能性もあります。

WordPress websites utilizing the Contact Form by Bit Form plugin, particularly those with administrator accounts and internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple WordPress sites share the same server infrastructure are also at increased risk, as a compromised administrator account on one site could potentially be used to exploit the vulnerability on other sites.

• wordpress / composer / npm:

grep -r 'Webhook_url' /var/www/html/wp-content/plugins/contact-form-by-bit-form/*

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/contact-form-by-bit-form/webhook.php | grep -i 'server:'

1. 2025-01-25Disclosure

   disclosure

1. 予約済み2025-01-16
2. 公開日2025-01-25
3. 更新日2025-01-27
4. EPSS 更新日2026-04-02

この脆弱性への対応策として、まずContact Form by Bit Formプラグインをバージョン2.17.5以降にアップデートしてください。アップデートが困難な場合は、Webhooks機能の一時的な無効化を検討してください。WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。WordPressのセキュリティプラグインを利用して、不正なリクエストを監視することも推奨されます。アップデート後、プラグインの動作確認を行い、Webhooks機能が正常に動作することを確認してください。

プラグイン評価

5.0

WordPressが必要

5.0+

動作確認済みバージョン

7.0

PHPが必要

7.4+