- 2018年6月26日
- WordPress脆弱性情報
様々な入力フォームをめちゃめちゃ簡単に作れるWordPressプラグイン、Form Maker by WDに脆弱性
入力フォームを作成するのは、通常エンジニアに依頼し、入力された情報をベリファイしたり、エスケープしたりする処理、DBに格納する処理、入力後に画面遷移をする処理などの開発が必要であり、手間がかかります。
それを解決しているのが今回取り上げるプラグイン、Form Maker by WDです。
これは結構素晴らしい多機能プラグインで、例えば以下のような複雑な入力フォームをドラッグ・アンド・ドロップだけで作成できます。
フィールドや配置も自由、おまけにドロップボックスやGoogleドライブなどとの連携も可能とあって、すでにアクティブインストール数は10万以上の、有名プラグインです。
詳しい機能などは、以下のビデオでも確認可能ですが、ちょっと使ってみようかな、と思わせる良いプラグインではないかと思います。
基本的にフォームは、ユーザーの離脱を引き起こしてしまうので、「フォーム最適化」という言葉が生まれるくらい、試行錯誤とテストが必要な分野です。
それを、逐次、スクラッチで書いていたら、結構な手間、コストを要求されるでしょう。
そこで、こういったプラグインを活用する、ということに合理性が出てくるわけです。
もちろん、多機能ということは、それだけセキュリティに穴が生じやすく、今回はインジェクションの脆弱性が出てしまいました。
参考:https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-004559.html
WordPress 用 Form Maker by WD プラグインには、インジェクションに関する脆弱性が存在します。
脆弱性が存在するバージョンは、Form Maker 1.12.24 未満、最新版は1.12.30となっておりますので、最新版に更新することで脆弱性を回避することができます。