Contact Form 7 ドラッグアンドドロップ複数ファイルアップロード <= 1.3.8.7 - 認証されていない任意のファイル削除

この脆弱性は、攻撃者がContact Form 7のDrag and Drop Multiple File Uploadプラグインを通じてサーバー上のファイルを削除できることを意味します。攻撃者は、ファイルパスに../のような文字列を挿入することで、意図しない場所にあるファイルを削除できます。特に、wp-config.phpのような重要な設定ファイルを削除されると、WordPressサイト全体の機密情報が漏洩し、サイトの制御を奪われる可能性があります。この攻撃は、Flamingoプラグインがインストールされている場合にのみ成功します。攻撃者は、削除されたメッセージを操作することで、リモートコード実行を試みる可能性があります。

WordPress websites utilizing the Drag and Drop Multiple File Upload for Contact Form 7 plugin, particularly those with the Flamingo plugin installed, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and server configurations. Legacy WordPress installations running older versions of the plugin are also at heightened risk.

• wordpress / composer / npm:

grep -r 'dnd_remove_uploaded_files' /var/www/html/wp-content/plugins/drag-and-drop-multiple-file-upload-for-contact-form-7/

• wordpress / composer / npm:

wp plugin list --status=active | grep 'drag-and-drop-multiple-file-upload-for-contact-form-7'

• wordpress / composer / npm:

wp plugin list --status=active | grep 'flamingo'

• generic web: Check WordPress plugin directory for updates and security advisories related to 'Drag and Drop Multiple File Upload for Contact Form 7'.

1. 2025-03-28Disclosure

   disclosure

1. 予約済み2025-03-14
2. 公開日2025-03-28
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずContact Form 7のDrag and Drop Multiple File Uploadプラグインを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、Flamingoプラグインの無効化を検討してください。WAF（Web Application Firewall）を導入し、不審なファイル削除リクエストをブロックすることも有効です。また、WordPressのファイルパーミッションを適切に設定し、Webサーバーからのアクセスを制限することで、攻撃の影響範囲を限定できます。アップデート後、ファイルパーミッションが適切に設定されているか、およびプラグインが正常に動作しているかを確認してください。

アクティブインストール数

60K既知

プラグイン評価

4.8

WordPressが必要

3.0.1+

動作確認済みバージョン

6.9.4

PHPが必要

5.2.4+