1,000,000以上の、アクティブインストール数を誇るフォーム作成プラグイン、Ninja Formsに脆弱性。

ワードプレスは、柔軟にページを作成できるのが強みですが、「入力フォーム」を作るのは結構面倒です。

最も有名な入力フォーム生成プラグインは、Contact form 7という5百万アクティブインストールの有名なプラグインがありますが、それに近いものとして、Ninja formsという入力フォーム生成プラグインがあります。

Ninja、という名前を製品につける日本人はあまりいないので、この手の名前を見るたびに若干の苦笑をしてしまうのですが、フォーム生成プラグインに必要な機能は一通り、揃っています。

 

・豪華で直感的なユーザーインターフェイス。
・フォーム、フィールド、電子メール、アクション、または提出物の数に制限はありません。
・電子メール、日付(日付/日付ピッカー)、電話番号、住所などの専用の使いやすいフィールド
・自分のフィールドを変更して、後で再利用できるようにお気に入りに保存します(他のフォームでも!)
・必要なフィールドを強制し、カスタム入力マスクでデータフォーマットを修正する
・フォームを完了した後、ユーザーに成功メッセージを表示したり、別の場所にリダイレクトしたりします。
・フォームユーザーの送信を管理、編集、およびエクスポートします。
・フォームとお気に入りフィールドのエクスポートとインポート。
・フォームが処理されるたびに、フォームデータを管理者やユーザーに電子メールで送信します。
・強力なSummernote HTMLエディタで電子メールをカスタマイズし、生のHTML(写真、ビデオなど)を追加します。
・Google reCaptcha、質問/回答フィールド、ハニーポットフィールドなど、いくつかのスパム対策オプション
・AJAX経由のフォーム提出により、ページの更新なしでシームレスなユーザーエクスペリエンスが可能

データの取扱を重視しているので、Contactform7よりも、商用の利用に向いていそうです。

 

さて、Ninjaformsに、脆弱性が報告されています。

https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-002069.html

CVSS v3 による深刻度
基本値: 6.1 (警告) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃に必要な特権レベル: 不要
利用者の関与: 要
影響の想定範囲: 変更あり
機密性への影響(C): 低
完全性への影響(I): 低
可用性への影響(A): なし

CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 中
攻撃前の認証要否: 不要
機密性への影響(C): なし
完全性への影響(I): 部分的
可用性への影響(A): なし
影響を受けるシステム

影響があるバージョンは、Ninja Forms 3.2.14 未満、クロスサイトスクリプティングの脆弱性により、情報を取得される、および情報を改ざんされる可能性があります。

サポートはしっかりしていますので、ベンダが発行した最新版にアップデートをすれば、対策は完了です。

 

LINEで送る
Pocket

こんな記事も読まれています