HelpDesk 連絡フォームプラグイン <= 1.1.5 - handle_query_args 経由での設定更新に対するクロスサイトリクエストフォージェリ

このCSRF脆弱性を悪用されると、攻撃者はWordPressサイトの管理者アカウントを騙り、HelpDesk Contact Formプラグインの設定を不正に変更できます。具体的には、ライセンスIDや問い合わせフォームIDを改ざんすることで、プラグインの機能を停止させたり、悪意のあるリダイレクトを設定したりすることが可能です。これにより、サイトの信頼性が損なわれ、ユーザー情報が漏洩するリスクも考えられます。攻撃者は、巧妙に偽装されたリンクをクリックさせることで、管理者を騙し、不正な操作を実行させることが期待されます。

WordPress sites utilizing the HelpDesk Contact Form plugin, particularly those with shared hosting environments or where administrators are routinely tricked into clicking on links from untrusted sources, are at increased risk. Sites with legacy WordPress configurations or those lacking robust security practices are also more vulnerable.

• wordpress / composer / npm:

grep -r 'handle_query_args' /var/www/html/wp-content/plugins/helpdesk-contact-form/

• wordpress / composer / npm:

wp plugin list --status=all | grep 'helpdesk-contact-form'

• wordpress / composer / npm:

wp plugin update helpdesk-contact-form --all

1. 2026-01-07Disclosure

   disclosure

1. 予約済み2025-11-25
2. 公開日2026-01-07
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応として、まずHelpDesk Contact Formプラグインをバージョン1.1.6にアップデートすることを推奨します。アップデートが困難な場合は、一時的な回避策として、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することを検討してください。また、WordPressのセキュリティプラグインを活用し、nonce検証の強化や、不審なリクエストの監視を行うことも有効です。プラグインのアップデート後、設定が正常に反映されているか、手動で確認してください。

アクティブインストール数

30

プラグイン評価

5.0

WordPressが必要

4.6+

動作確認済みバージョン

6.9.4

PHPが必要

6.1+