Kali Forms <= 2.4.9 - form_process 経由の認証されていないリモートコード実行

このRCE脆弱性は、攻撃者にとって非常に危険です。攻撃者は、Kali Formsプラグインを通じてWordPressサイトに侵入し、サーバー上で任意のコマンドを実行できます。これにより、機密情報の窃取、ウェブサイトの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。特に、Kali Formsプラグインを多用しているウェブサイトや、機密情報を扱うウェブサイトでは、迅速な対応が必要です。この脆弱性の悪用は、Log4Shellのような広範囲な影響を及ぼす可能性があります。

WordPress websites utilizing the Kali Forms plugin, particularly those running older versions (0.0.0–2.4.9), are at significant risk. Shared hosting environments are especially vulnerable as they often lack granular control over plugin updates and security configurations. Websites relying on Kali Forms for critical data collection or processing are also at heightened risk.

• wordpress / composer / npm:

grep -r 'call_user_func' /var/www/html/wp-content/plugins/kali-forms/

• wordpress / composer / npm:

wp plugin list --status=all | grep 'kali-forms'

• wordpress / composer / npm:

wp plugin update kali-forms --all

• generic web: Check WordPress plugin directory for Kali Forms version 2.4.9 or earlier.

1. 2026-03-20Disclosure

   disclosure

1. 予約済み2026-03-05
2. 公開日2026-03-20
3. 更新日2026-04-08
4. EPSS 更新日2026-03-28

Kali Formsプラグインのバージョンを2.4.10以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、一時的な回避策として、Kali Formsプラグインの関連ファイルを保護されたディレクトリに移動させる、または、ウェブアプリケーションファイアウォール（WAF）を使用して悪意のあるリクエストをブロックすることを検討してください。WAFのルールは、'form_process'関数への不正な入力を検出し、ブロックするように設定する必要があります。アップデート後、プラグインの動作を確認し、セキュリティ上の問題がないことを確認してください。

アクティブインストール数

10Kニッチ

プラグイン評価