- 2015年3月5日
- WordPress脆弱性情報
20万ダウンロード、Contact Form DB プラグインにクロスサイトリクエストフォージェリの脆弱性
お問い合わせフォームに入力された内容をメールで飛ばす、という有名プラグイン、Contact Form7というものがありますが、その兄弟のようなプラグインであるContact FormDB というプラグインに脆弱性が報告されています。
このプラグインは、メールという秘匿性の低いメディアに顧客情報を流すのがイヤだ、という企業向けのプラグインで、コンタクトフォームからの問い合わせをデータベースに格納するソフトです。また、DBからいつでもCSV形式でダウンロードも可能です。
また、日本語化されており、非常に使いやすい仕上がりとなっています。
119067 | 2015-03-04 | Contact Form To DB Plugin for WordPress /wp-admin/admin.php CF7DBPluginSubmissions Page Stored Form Submission Deletion CSRF | |||
Contact Form To DB Plugin for WordPress contains a flaw as HTTP requests to the CF7DBPluginSubmissions page, as called by /wp-admin/admin.php, do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to delete stored form submissions. |
脆弱性は既に修正されており、最新版を使うことで回避可能です。
(2015年3月5日現在、2.8.32)