プラットフォーム
wordpress
コンポーネント
wp-contact-form-7-spam-blocker
修正版
1.2.10
1.2.10
CVE-2026-1540は、WordPressプラグインSpam Protect for Contact Form 7におけるリモートコード実行(RCE)の脆弱性です。攻撃者は、編集者レベル以上の権限を持つ認証済みユーザーとして、サーバー上で任意のコードを実行できる可能性があります。この脆弱性は、バージョン1.2.10以前のSpam Protect for Contact Form 7に影響を与えます。バージョン1.2.10へのアップデートにより、この脆弱性は修正されています。
この脆弱性を悪用されると、攻撃者はWordPressサイト上で任意のコードを実行できるようになり、ウェブサイトの完全な制御を奪われる可能性があります。機密情報への不正アクセス、データの改ざん、マルウェアの配布など、深刻な被害につながる可能性があります。攻撃者は、ウェブサイトを悪意のあるコンテンツを配信するために利用したり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なうリスクがあります。
この脆弱性は、2026年3月12日に公開されました。現時点では、公的に利用可能なエクスプロイトコードは確認されていませんが、RCEの脆弱性であるため、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。
エクスプロイト状況
EPSS
0.10% (29% パーセンタイル)
CVSS ベクトル
この脆弱性への最も効果的な対策は、Spam Protect for Contact Form 7プラグインをバージョン1.2.10にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、プラグインのアクセスを制限するファイアウォールルールを設定したり、WordPressのセキュリティプラグインで不正なコード実行を検知・ブロックするルールを追加したりすることを検討してください。また、WordPressのセキュリティ設定を見直し、不要なプラグインを削除するなど、総合的なセキュリティ対策を講じることが重要です。
バージョン1.2.10、またはそれ以降の修正されたバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-1540は、WordPressのSpam Protect for Contact Form 7プラグインにおけるリモートコード実行(RCE)の脆弱性です。バージョン1.2.10以前のプラグインが影響を受けます。
バージョン1.2.10以前のSpam Protect for Contact Form 7プラグインを使用している場合は、影響を受けます。攻撃者は、編集者以上の権限を持つユーザーとして、サーバー上で任意のコードを実行できる可能性があります。
Spam Protect for Contact Form 7プラグインをバージョン1.2.10にアップデートしてください。アップデートが困難な場合は、一時的な回避策として、ファイアウォールルールを設定したり、セキュリティプラグインで不正なコード実行を検知・ブロックするルールを追加したりすることを検討してください。
現時点では、公的に利用可能なエクスプロイトコードは確認されていませんが、RCEの脆弱性であるため、悪用される可能性は否定できません。
Spam Protect for Contact Form 7の公式アドバイザリは、プラグインの公式サイトまたはWordPressのセキュリティアドバイザリサイトで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。