プラットフォーム
wordpress
コンポーネント
form-maker
修正版
1.15.41
1.15.41
Form Maker by 10Web プラグインは、WordPress サイトで使いやすいフォームを作成するためのツールです。CVE-2026-4388 は、このプラグインの Matrix フィールド(テキストボックス入力タイプ)における Stored Cross-Site Scripting (XSS) 脆弱性です。不十分な入力サニタイズと出力エスケープの欠如により、攻撃者は悪意のある JavaScript を注入し、管理者がフォームの送信詳細を確認する際にそのコードが実行される可能性があります。この脆弱性は、バージョン 1.15.40 以前の Form Maker by 10Web プラグインに影響を与えます。1.15.41 以降にアップデートすることで修正されています。
この XSS 脆弱性を悪用すると、攻撃者は WordPress 管理者のブラウザで任意の JavaScript コードを実行できます。これにより、Cookie の窃取、セッションハイジャック、リダイレクト、または悪意のあるコンテンツの表示など、さまざまな攻撃が可能になります。攻撃者は、フォームの送信データに悪意のあるスクリプトを注入し、管理者がその送信詳細を確認する際にスクリプトが実行されるように仕向けます。この脆弱性は、WordPress サイトのセキュリティを著しく損なう可能性があり、機密情報の漏洩やサイトの改ざんにつながる可能性があります。攻撃範囲は広範囲に及び、管理者の権限を悪用してサイト全体に影響を及ぼす可能性があります。
この脆弱性は、2026年4月13日に公開されました。現時点では、この脆弱性を悪用した既知の攻撃キャンペーンに関する情報は公開されていません。しかし、XSS 脆弱性は一般的に悪用されやすく、今後悪用される可能性はあります。この脆弱性は、まだ KEV (Known Exploited Vulnerabilities) リストに掲載されていません。EPSS (Exploit Prediction Scoring System) スコアは、現時点では利用できません。NVD (National Vulnerability Database) および CISA (Cybersecurity and Infrastructure Security Agency) の情報を定期的に確認し、最新の情報を入手してください。
エクスプロイト状況
EPSS
0.09% (26% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、まず Form Maker by 10Web プラグインをバージョン 1.15.41 以降にアップデートすることを強く推奨します。アップデートできない場合は、Matrix フィールドへの入力のサニタイズを強化するカスタムコードを実装することを検討してください。WAF (Web Application Firewall) を使用して、XSS 攻撃を検出し、ブロックすることも有効です。また、WordPress のセキュリティプラグインを使用して、潜在的な XSS 攻撃を監視し、ブロックすることもできます。アップデート後、管理者がフォームの送信詳細を確認し、JavaScript コードが実行されないことを確認してください。
バージョン1.15.41、またはそれ以降のパッチバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-4388 は、Form Maker by 10Web プラグインの Matrix フィールドにおける Stored Cross-Site Scripting (XSS) 脆弱性です。
Form Maker by 10Web プラグインのバージョンが 1.15.40 以前を使用している場合は、影響を受けます。
Form Maker by 10Web プラグインをバージョン 1.15.41 以降にアップデートしてください。
現時点では、この脆弱性を悪用した既知の攻撃キャンペーンに関する情報は公開されていませんが、悪用される可能性はあります。
NVD (National Vulnerability Database) および CISA (Cybersecurity and Infrastructure Security Agency) の情報を確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。