プラットフォーム
wordpress
コンポーネント
gravityforms
修正版
2.9.29
Gravity Forms WordPressプラグインのバージョン0.0.0から2.9.28.1において、Stored Cross-Site Scripting (XSS)の脆弱性が確認されています。この脆弱性は、認証されたユーザーが不正なJavaScriptコードを挿入し、他のユーザーに影響を与える可能性があります。バージョン2.9.29でこの問題が修正されており、早急なアップデートが推奨されます。
このXSS脆弱性は、攻撃者が悪意のあるスクリプトをGravity Formsフォームに埋め込むことを可能にします。攻撃者は、フォームを送信するユーザーのブラウザでこのスクリプトを実行し、Cookieの窃取、セッションハイジャック、リダイレクト、または悪意のあるWebサイトへの誘導など、様々な攻撃を実行できます。特に、フォームの管理者は、この脆弱性によってシステム全体へのアクセスを失うリスクがあります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は、2026年3月11日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、XSS脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。攻撃者は、認証されたユーザーアカウントを取得することで、この脆弱性を悪用する可能性があります。
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Gravity Formsプラグインをバージョン2.9.29以降にアップデートすることです。アップデートが直ちに実行できない場合は、WordPressのWAF(Web Application Firewall)を使用して、createfromtemplateエンドポイントへの不正なリクエストをブロックすることを検討してください。また、入力データのサニタイズと出力のエスケープを強化するカスタムコードを実装することも有効です。アップデート後、フォームの動作をテストし、XSS攻撃が発生していないことを確認してください。
バージョン2.9.29、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-3492は、Gravity Forms WordPressプラグインのバージョン0.0.0~2.9.28.1におけるStored Cross-Site Scripting (XSS)脆弱性です。認証されたユーザーが任意のJavaScriptを実行可能になります。
はい、影響があります。攻撃者は悪意のあるスクリプトをフォームに埋め込み、Cookieの窃取やセッションハイジャックなどの攻撃を実行する可能性があります。
Gravity Formsプラグインをバージョン2.9.29以降にアップデートしてください。アップデートが難しい場合は、WAFを使用して不正なリクエストをブロックすることを検討してください。
現時点では公的なPoCは確認されていませんが、XSS脆弱性であるため、悪用される可能性は高いと考えられます。
Gravity Formsの公式アドバイザリは、[https://gravityforms.com/alerts/gravity-forms-xss-vulnerability/](https://gravityforms.com/alerts/gravity-forms-xss-vulnerability/)で確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。