20万ダウンロード、Contact Form DB プラグインにクロスサイトリクエストフォージェリの脆弱性

お問い合わせフォームに入力された内容をメールで飛ばす、という有名プラグイン、Contact Form7というものがありますが、その兄弟のようなプラグインであるContact FormDB というプラグインに脆弱性が報告されています。

このプラグインは、メールという秘匿性の低いメディアに顧客情報を流すのがイヤだ、という企業向けのプラグインで、コンタクトフォームからの問い合わせをデータベースに格納するソフトです。また、DBからいつでもCSV形式でダウンロードも可能です。

また、日本語化されており、日本語の解説ページも数多くあり、非常に使いやすい仕上がりとなっています。

 

119067 2015-03-04 Contact Form To DB Plugin for WordPress /wp-admin/admin.php CF7DBPluginSubmissions Page Stored Form Submission Deletion CSRF

Contact Form To DB Plugin for WordPress contains a flaw as HTTP requests to the CF7DBPluginSubmissions page, as called by /wp-admin/admin.php, do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to delete stored form submissions.

 

脆弱性は既に修正されており、最新版を使うことで回避可能です。

(2015年3月5日現在、2.8.32)

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています