20万ダウンロード、Contact Form DB プラグインにクロスサイトリクエストフォージェリの脆弱性

お問い合わせフォームに入力された内容をメールで飛ばす、という有名プラグイン、Contact Form7というものがありますが、その兄弟のようなプラグインであるContact FormDB というプラグインに脆弱性が報告されています。

このプラグインは、メールという秘匿性の低いメディアに顧客情報を流すのがイヤだ、という企業向けのプラグインで、コンタクトフォームからの問い合わせをデータベースに格納するソフトです。また、DBからいつでもCSV形式でダウンロードも可能です。

また、日本語化されており、日本語の解説ページも数多くあり、非常に使いやすい仕上がりとなっています。

 

119067 2015-03-04 Contact Form To DB Plugin for WordPress /wp-admin/admin.php CF7DBPluginSubmissions Page Stored Form Submission Deletion CSRF

Contact Form To DB Plugin for WordPress contains a flaw as HTTP requests to the CF7DBPluginSubmissions page, as called by /wp-admin/admin.php, do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to delete stored form submissions.

 

脆弱性は既に修正されており、最新版を使うことで回避可能です。

(2015年3月5日現在、2.8.32)

LINEで送る
Pocket

こんな記事も読まれています