プラットフォーム
wordpress
コンポーネント
formgent
修正版
1.7.1
CVE-2026-22460は、wpWax FormGentにおいてPath Traversal(ディレクトリトラバーサル)脆弱性が存在します。この脆弱性は、攻撃者が本来アクセスできないファイルを読み出すことを可能にし、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは0.0.0から1.7.0までの間です。最新バージョンへのアップデートにより、この脆弱性は修正されています。
このPath Traversal脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルにアクセスできる可能性があります。例えば、設定ファイル、ログファイル、または他の機密情報を含むファイルが読み出される可能性があります。攻撃者は、この脆弱性を利用して、Webサイトの機密情報を盗み出し、さらなる攻撃に利用する可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は2026年3月5日に公開されました。現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVリストへの登録状況は不明です。
WordPress websites utilizing the wpWax FormGent plugin, particularly those running versions 0.0.0 through 1.7.0, are at risk. Shared hosting environments where server file permissions are less restrictive are especially vulnerable. Sites with sensitive data stored in configuration files or accessible via the web server are also at higher risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/formgent/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/formgent/../../../../etc/passwd' # Check for file disclosuredisclosure
エクスプロイト状況
EPSS
0.06% (19% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、wpWax FormGentを最新バージョンにアップデートすることです。アップデートが困難な場合は、Webアプリケーションファイアウォール(WAF)を使用して、ディレクトリトラバーサル攻撃をブロックすることを検討してください。また、WordPressのファイルパーミッションを適切に設定し、不要なファイルのアクセスを制限することも有効です。ファイルアクセスを厳密に制限するルールを実装することで、攻撃の影響範囲を最小限に抑えることができます。
既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を実施してください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-22460は、wpWax FormGentプラグインのバージョン0.0.0から1.7.0までの間で、攻撃者が任意のファイルを読み出すことを可能にするPath Traversal脆弱性です。
wpWax FormGentのバージョン0.0.0から1.7.0を使用している場合、この脆弱性により、サーバー上の機密情報が漏洩する可能性があります。
wpWax FormGentを最新バージョンにアップデートすることで、この脆弱性を修正できます。
現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用される可能性が高いため、注意が必要です。
wpWax FormGentの公式アドバイザリは、プラグインの公式サイトまたはWordPressプラグインディレクトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。