プラットフォーム
wordpress
コンポーネント
everest-forms-pro
修正版
1.9.13
CVE-2026-3300は、WordPress用プラグインEverest Forms ProにおけるRCEの脆弱性です。この脆弱性により、PHPコードインジェクションが可能になり、攻撃者は任意のPHPコードを実行できます。影響を受けるバージョンは1.9.12以下です。この問題は、Calculation Addonのprocess_filter()関数が原因です。この問題は、バージョン1.9.13で修正されました。
CVE-2026-3300 は、WordPress の Everest Forms Pro プラグインにおけるリモートコード実行(RCE)の重大な脆弱性です。1.9.12 までのすべてのバージョンに影響し、認証なしでも攻撃者が悪意のある PHP コードを挿入することを可能にします。この脆弱性は、Calculation Addon の processfilter() 関数に存在し、ユーザーが送信したフォームフィールドの値を適切なエスケープ処理なしに PHP コード文字列に連結し、eval() に渡します。sanitizetext_field() が入力に適用されているにもかかわらず、シングルクォートやその他の PHP コードコンテキスト文字が正しくエスケープされません。これにより、攻撃者はサーバー上で任意のコードを実行し、データベースやその他のファイルを含む WordPress ウェブサイト全体を侵害する可能性があります。CVSS スコアは 9.8 であり、重大な影響と高い悪用可能性を示しています。
この脆弱性の悪用には、Everest Forms Pro によって管理され、Calculation Addon を使用するフォームを通じてデータが送信できる攻撃者が必要です。認証は必要ないため、攻撃者は単にテストフォームを作成するか、既存のフォームを使用できます。攻撃者はフォームのフィールドの 1 つに悪意のある PHP コードを挿入します。このコードは他の入力と連結され、eval() 関数を使用して評価されるため、攻撃者はサーバー上で任意のコードを実行できます。悪用の容易さと脆弱性の高い重大度から、攻撃者にとって魅力的なターゲットとなっています。
エクスプロイト状況
EPSS
0.29% (52% パーセンタイル)
CISA SSVC
CVE-2026-3300 のリスクを軽減するための即時対策は、Everest Forms Pro プラグインをバージョン 1.9.13 以降に更新することです。このバージョンには、PHP コードインジェクション脆弱性を修正する修正が含まれています。すぐに更新できない場合は、更新を適用できるまで Calculation Addon を一時的に無効にすることをお勧めします。さらに、サーバーログを調べて、以前の悪用を示唆する疑わしいアクティビティがないか確認してください。悪意のあるトラフィックをブロックするためのファイアウォールルールの実装と、定期的なウェブサイトのバックアップは、潜在的な攻撃の影響を軽減するのに役立つ追加の予防措置です。ウェブサイトファイルの整合性も監視することで、不正な変更を検出することが重要です。
バージョン 1.9.13 以降、またはより新しいパッチ適用済みのバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
RCE とは、攻撃者がリモートサーバー上でコードを実行できることを意味し、システムに対する制御権を得ることができます。
CVSS スコア 9.8 は、高い影響と高い悪用可能性を持つ重大な脆弱性を示します。
はい、Calculation Addon を無効にすることは、プラグインを更新するまで実行可能な一時的な解決策です。
サイトが侵害された疑いがある場合は、すぐにすべてのパスワードを変更し、ファイルを不正な変更がないか確認し、クリーンなバックアップを復元することを検討してください。
Everest Forms Pro プラグインの最新バージョンは、WordPress プラグインリポジトリまたは開発者のウェブサイトで見つけることができます。
CVSS ベクトル
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。