プラットフォーム
wordpress
コンポーネント
form-maker
修正版
1.15.41
1.15.41
Form Maker by 10Webプラグインは、WordPressサイトでフォームを作成・管理するためのツールです。CVE-2026-3330は、このプラグインのバージョン1.15.40以前に存在するSQLインジェクション脆弱性です。攻撃者は、特定のパラメータを悪用することでデータベースに不正にアクセスし、機密情報を窃取する可能性があります。バージョン1.15.41でこの脆弱性が修正されています。
この脆弱性を悪用されると、認証された攻撃者は、Form Makerプラグインを通じて保存されているユーザーデータ、フォームデータ、その他の機密情報にアクセスできる可能性があります。攻撃者は、SQLインジェクション攻撃によってデータベースを改ざんしたり、削除したりすることも可能です。特に、フォームに個人情報(氏名、メールアドレス、電話番号など)を収集している場合、情報漏洩のリスクが高まります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大な問題となり得ます。攻撃者は、この脆弱性を踏み台にして、Webサーバー上の他のアプリケーションやシステムへのアクセスを試みる可能性があります。
この脆弱性は、2026年4月17日に公開されました。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、SQLインジェクション脆弱性であるため、悪用される可能性は否定できません。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の脅威動向を把握することが重要です。severity pending evaluation.
エクスプロイト状況
EPSS
0.02% (4% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Form Maker by 10Webプラグインをバージョン1.15.41にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WordPressのデータベースプレフィックスを変更することで、SQLインジェクション攻撃の影響範囲を限定できる可能性があります。また、WAF(Web Application Firewall)を導入し、SQLインジェクション攻撃を検知・防御するルールを設定することも有効です。データベースへのアクセス制御を強化し、不要な権限を持つユーザーアカウントを削除することも重要です。アップデート後、プラグインの動作確認を行い、SQLインジェクション攻撃の兆候がないことを確認してください。
バージョン1.15.41、またはそれ以降のパッチバージョンにアップデートしてください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-3330は、WordPressのForm Maker by 10WebプラグインにおけるSQLインジェクション脆弱性です。攻撃者は、特定のパラメータを悪用してデータベースに不正にアクセスし、機密情報を窃取する可能性があります。
はい、バージョン1.15.40以前のForm Maker by 10Webプラグインを使用しているWordPressサイトは影響を受けます。攻撃者は、データベースにアクセスし、機密情報を盗み出す可能性があります。
Form Maker by 10Webプラグインをバージョン1.15.41にアップデートしてください。アップデートが困難な場合は、データベースプレフィックスの変更やWAFの導入などの対策を検討してください。
現時点では、公開されているPoCは確認されていませんが、SQLインジェクション脆弱性であるため、悪用される可能性は否定できません。最新の脅威動向を常に把握するようにしてください。
Form Maker by 10Webの公式アドバイザリは、10Webのウェブサイトで確認できます。https://10web.io/support/knowledge-base/form-maker-changelog/
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。