HIGHCVE-2024-32830CVSS 8.6

WordPress buddyforms プラグイン <= 2.8.8 - 任意のファイル読み込みと SSRF の脆弱性

Q: CVE-2024-32830 — SSRF in BuddyForms WordPressプラグインとは何ですか？

CVE-2024-32830は、BuddyForms WordPressプラグインのパス名制限不備により発生するサーバーサイドリクエスト偽装（SSRF）脆弱性です。攻撃者はこの脆弱性を悪用して、サーバーを介して任意の外部リソースにアクセスできます。

Q: CVE-2024-32830 in BuddyForms WordPressプラグインの影響はありますか？

BuddyForms WordPressプラグインのバージョン2.8.8以下を使用している場合は影響を受けます。2.8.9にアップデートすることで脆弱性を解消できます。

Q: CVE-2024-32830 in BuddyForms WordPressプラグインを修正するにはどうすればよいですか？

BuddyForms WordPressプラグインをバージョン2.8.9にアップデートしてください。アップデートが困難な場合は、WAFを導入するなど、代替の対策を検討してください。

Q: CVE-2024-32830は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、SSRF脆弱性は悪用が容易であるため、早期の悪用が懸念されます。

Q: CVE-2024-32830に関する公式のBuddyFormsアドバイザリはどこで確認できますか？

公式アドバイザリは、ThemeKraftのウェブサイトで確認できます。https://themeforest.net/item/buddyforms-powerful-form-builder-for-wordpress/34825679

プラットフォーム

wordpress

コンポーネント

buddyforms

修正版

2.8.9

AI Confidence: highNVDEPSS 1.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-32830は、WordPressプラグインBuddyFormsにおけるパス名制限の不備に起因するサーバーサイドリクエスト偽装（SSRF）脆弱性です。この脆弱性を悪用されると、攻撃者はサーバーを介して任意の外部リソースにアクセスし、機密情報を盗み出す可能性があります。影響を受けるバージョンはBuddyForms 2.8.8以下であり、2.8.9へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がBuddyFormsプラグインを通じてサーバーを介して任意のHTTPリクエストを送信することを可能にします。これにより、内部ネットワークリソースへのアクセス、機密データの取得、さらにはサーバーの構成情報の漏洩といった攻撃が可能になります。攻撃者は、例えば、内部データベースへのアクセスを試みたり、認証情報を取得したりする可能性があります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。

悪用の状況

この脆弱性は、2024年5月17日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性は悪用が容易であるため、早期の悪用が懸念されます。CISAのKEVリストへの登録状況は不明です。

リスク対象者翻訳中…

WordPress sites utilizing the BuddyForms plugin, particularly those running versions 2.8.8 or earlier, are at risk. Shared hosting environments where plugin updates are managed centrally are especially vulnerable, as they may not have immediate control over plugin updates. Sites with sensitive internal resources accessible via HTTP should prioritize remediation.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'wp_remote_get' /var/www/html/wp-content/plugins/buddyforms/

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/buddyforms/ | grep Server

• wordpress / composer / npm:

wp plugin list --status=inactive | grep buddyforms

攻撃タイムライン

2024-05-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.31% (80% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントbuddyforms

ベンダーThemeKraft

影響範囲修正版

0.0.0 – 2.8.82.8.9

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-04-18
公開日2024-05-17
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応として、まずBuddyFormsプラグインをバージョン2.8.9にアップデートすることを推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定してください。また、WordPressのセキュリティプラグインを利用し、ファイルアクセスを制限するなどの対策も有効です。アップデート後、プラグインの動作確認を行い、意図しない動作がないか確認してください。

修正方法翻訳中…

Actualice el plugin BuddyForms a la última versión disponible. Si no hay una versión disponible, considere deshabilitar el plugin hasta que se publique una versión corregida. Consulte el sitio web del proveedor para obtener más información y actualizaciones.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-32830 — SSRF in BuddyForms WordPressプラグインとは何ですか？