Everest Forms <= 3.4.3 - フォームエントリメタデータ経由の認証されていないPHPオブジェクトインジェクション

CVE-2026-3296 は、WordPress の Everest Forms プラグインにおいて、PHP オブジェクトインジェクションによる重大なリスクをもたらします。この脆弱性は、認証されていない攻撃者が脆弱な WordPress サイト上で悪意のあるコードを実行することを可能にします。問題は、html-admin-page-entries-view.php ファイルにあり、フォーム入力の適切な検証なしに unserialize() 関数を使用しています。つまり、攻撃者は Everest Forms の任意の公開フォームフィールドを介してシリアル化された PHP オブジェクトペイロードを注入し、ウェブサイトのセキュリティを損なう可能性があります。CVSS スコアが 9.8 であることは、非常に高いリスクを示しており、簡単に悪用され、サーバーの乗っ取りなど、壊滅的な影響を与える可能性があります。

1. 予約済み2026-02-26
2. 公開日2026-04-07
3. 更新日2026-04-08
4. EPSS 更新日2026-04-15

このリスクを軽減するための即時的な解決策は、Everest Forms プラグインをバージョン 3.4.4 以降に更新することです。この更新により、デシリアライズ前の入力の適切な検証を実装することで、脆弱性が修正されます。さらに、悪意のあるペイロードの可能性を考慮して、既存のすべてのフォームエントリを確認してください。予防策として、WordPress 管理エリアへのアクセスを制限し、強力なパスワードを使用することを推奨します。Web Application Firewall (WAF) を実装することで、悪用試行を検出およびブロックするのに役立ちます。定期的なセキュリティ監査と、すべてのプラグインおよび WordPress コアを最新の状態に保つことは、安全なウェブサイトを維持するための不可欠なプラクティスです。

アクティブインストール数

100K既知

プラグイン評価