Extensions For CF7 (Contact form 7 Database, Conditional Fields and Redirection) <= 3.2.8 - 管理者フォーム送信削除経由で認証されていない任意のファイル削除がトリガーされる

この脆弱性を悪用されると、攻撃者は認証なしでサーバー上の任意のファイルを削除できるようになります。特に、wp-config.phpファイルが削除された場合、WordPressサイトの構成ファイルが失われ、攻撃者はサイトを完全に制御できるようになる可能性があります。また、データベースの接続情報などが含まれるファイルが削除された場合、データベースへの不正アクセスや情報漏洩につながる危険性もあります。この脆弱性は、WordPressサイトの機密性、完全性、可用性を脅かす重大なリスクとなります。

WordPress websites utilizing the Extensions For CF7 plugin, particularly those running older versions (0.0.0–3.2.8), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Websites with weak server configurations or inadequate access controls are also at increased risk.

• wordpress / composer / npm:

grep -r 'delete-file' /var/www/html/wp-content/plugins/extensions-for-cf7/

• wordpress / composer / npm:

wp plugin list | grep 'Extensions For CF7'

• wordpress / composer / npm:

wp plugin update extensions-for-cf7 --version=3.2.9

• generic web: Check WordPress plugin directory for outdated versions of Extensions For CF7.

1. 2025-07-22Disclosure

   disclosure

1. 予約済み2025-07-14
2. 公開日2025-07-22
3. 更新日2026-04-08
4. EPSS 更新日2026-03-23

まず、Extensions For CF7プラグインをバージョン3.2.9にアップデートすることを推奨します。アップデートが直ちに困難な場合は、プラグインの機能を一時的に無効化するか、ファイルパスの検証を強化するカスタムコードを実装することで、攻撃のリスクを軽減できます。また、WAF（Web Application Firewall）を導入し、不審なファイル削除リクエストをブロックすることも有効です。WordPressのセキュリティプラグインを導入し、ファイルの変更を監視することで、不正なファイル削除を早期に検知できます。アップデート後、wp-config.phpファイルが存在し、正しい設定になっていることを確認してください。

アクティブインストール数

6K既知

プラグイン評価

4.9

WordPressが必要

5.0+

動作確認済みバージョン

7.0