プラットフォーム
wordpress
コンポーネント
drag-and-drop-multiple-file-upload-contact-form-7
修正版
1.3.10
1.3.9.7
Contact Form 7プラグインのDrag and Drop Multiple File Uploadプラグインにおいて、Path Traversalの脆弱性が確認されています。この脆弱性は、攻撃者がサーバー上の任意のファイルを読み取れる可能性を秘めており、機密情報の漏洩につながる恐れがあります。影響を受けるバージョンは1.3.9.6以前です。開発者による修正バージョン1.3.9.7へのアップデートが推奨されます。
このPath Traversal脆弱性は、攻撃者がユーザーがアップロードするファイル名を直接利用し、サーバー上のファイルパスを操作することを可能にします。これにより、攻撃者はWebサーバーのルートディレクトリや、プラグインの構成ファイルなど、機密情報を含むファイルを読み取ることが可能になります。特に、データベースの接続情報やAPIキーなどが含まれるファイルが漏洩した場合、攻撃者はサーバーへの不正アクセスや、他のシステムへの攻撃に利用する可能性があります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。
この脆弱性は、2026年4月17日に公開されました。現時点では、公的なProof of Concept(PoC)は確認されていませんが、Path Traversal脆弱性は悪用事例が多数存在するため、早期の対策が必要です。CISA KEVへの登録状況は不明です。攻撃者は、この脆弱性を利用して、機密情報を窃取し、Webサイトを改ざんする可能性があります。
エクスプロイト状況
EPSS
0.14% (34% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、プラグインをバージョン1.3.9.7にアップデートすることが最も効果的な対策です。アップデートが直ちに難しい場合は、Webアプリケーションファイアウォール(WAF)を導入し、不正なファイルアクセスを検知・遮断するルールを設定することを検討してください。また、WordPressのファイルパーミッションを適切に設定し、Webサーバーがアクセスできないディレクトリへのアクセスを制限することも有効です。さらに、プラグインのファイルアップロード処理を厳格に制限するカスタムコードを実装することも可能です。
バージョン 1.3.9.7、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-5710は、Contact Form 7プラグインのDrag and Drop Multiple File UploadプラグインにおけるPath Traversal脆弱性です。攻撃者はこの脆弱性を利用して、サーバー上の任意のファイルを読み取ることが可能です。
Contact Form 7プラグインのDrag and Drop Multiple File Uploadプラグインのバージョンが1.3.9.6以前の場合は、影響を受けます。バージョン1.3.9.7へのアップデートが必要です。
プラグインをバージョン1.3.9.7にアップデートしてください。アップデートが難しい場合は、WAFの導入やファイルパーミッションの調整などの対策を検討してください。
現時点では公的なPoCは確認されていませんが、Path Traversal脆弱性は悪用事例が多数存在するため、早期の対策が必要です。
Contact Form 7プラグインの公式ウェブサイトまたは、関連するセキュリティ情報を参照してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。