Contact Form by Bit Form: Multi Step Form, Calculation Contact Form, Payment Contact Form & Custom Contact Form builder 2.0 - 2.13.4 - Authenticater (Administrator+) 任意のファイル削除

この脆弱性は、認証された攻撃者（管理者権限以上）が、サーバー上の任意のファイルを削除できることを意味します。攻撃者は、wp-config.phpなどの重要なファイルを削除することで、WordPressサイト全体の制御を奪う可能性があります。wp-config.phpが削除されると、データベース接続情報が失われ、サイトが完全に停止する可能性があります。また、他の重要な設定ファイルが削除されることで、サイトの機能が損なわれたり、機密情報が漏洩したりするリスクもあります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があり、早急な対応が必要です。

WordPress websites utilizing the Contact Form by Bit Form plugin suite, particularly those with administrator accounts that have not been secured with strong passwords and multi-factor authentication, are at risk. Shared hosting environments where WordPress installations share file system permissions are also at higher risk, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r 'iconRemove' /var/www/html/wp-content/plugins/contact-form-by-bit-form/

• wordpress / composer / npm:

wp plugin list --status=all | grep 'contact-form-by-bit-form'

• wordpress / composer / npm:

wp plugin update contact-form-by-bit-form

• generic web: Check WordPress plugin directory for updates and security advisories related to Contact Form by Bit Form.

1. 2024-08-20Disclosure

   disclosure

1. 予約済み2024-08-13
2. 公開日2024-08-20
3. 更新日2024-09-03
4. EPSS 更新日2026-04-02

まず、Contact Form by Bit Formプラグインをバージョン2.14以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、一時的な回避策として、wp-config.phpなどの重要なファイルを保護するためのファイルシステム権限設定を強化することを検討してください。また、Webアプリケーションファイアウォール（WAF）を導入し、不審なファイルアクセスリクエストをブロックすることも有効です。WordPressのセキュリティプラグインを利用して、ファイルの変更を監視し、不正なアクセスを検知することも推奨されます。アップデート後、wp-config.phpなどの重要なファイルが存在し、適切な権限で設定されていることを確認してください。

プラグイン評価

5.0

WordPressが必要

5.0+

動作確認済みバージョン

7.0

PHPが必要

7.4+