- 2018年6月19日
- WordPress脆弱性情報
超有名コンタクトフォームプラグイン、Contact Form7の拡張、Contact Form DBに脆弱性
WordPressで最も有名なプラグインて何?と聞かれたら、Contact Form7だよ、という人は少なくないのではないかと思います。
これは、コンタクトフォームをショートコードから自動生成するプラグインで、めっぽう使い勝手が良い。
インストールするだけで、問い合わせフォームを作れるし、メールと接続してメールを送ってもらえます。
この、WordPressでサイトを作るなら、ほとんどのサイトに入っていると言っても過言ではないContact Form7。間違いなく、最も有名なプラグインの一つですが、それゆえに、
「もう少し使い勝手が良ければなー」という方も多いでしょう。
例えば、ある企業ではコンタクトフォームで送信されたメールのセキュリティ対策が問題になりました。メールではセキュリティが低く、なんとかならないか、というもの。
そこで、あることを考えた人がいました。
Contact Form7の入力を、そのままDBに格納すればよいのでは?
そこでできたのが、Contact Form DB(Contact Form to Database Extension)です。
https://github.com/mdsimpson/contact-form-7-to-database-extension/releases
あれ?WordPressの公式サイトには載ってないの?と思う方もいるかも知れません。
ここを見ると、顛末がわかります。
http://sakusaku.me/blog/contact-form-db-dissapear.html
まー要するに、WordPressの公式から、セキュリティ対策があまりにもうるさく言われるので、公式ページに乗せるのを辞めてしまった、というわけです。
まあ、DBを直接触るようなものなので、メールに比べれば遥かにシビアなわけで、公式の見解もわからなくはないのですが。
というわけで、現在はgithubからダウンロードしてインストール、という流れです。
キチンとアップデートもされているようなので、まずは安心して使えるのだろう……と思いきや、
脆弱性が出ています。
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-004234.html
内容としては、不適切な入力確認、ということなのですが、対策と原因が無数にあるので、
https://jvndb.jvn.jp/ja/cwe/CWE-20.html
デバッグもかなり難しいのではないかと推測しますが、どうでしょうか。
こういうときに、「公式」がセキュリティにうるさかった、という理由も理解できるのですけどね。