超有名コンタクトフォームプラグイン、Contact Form7の拡張、Contact Form DBに脆弱性

WordPressで最も有名なプラグインて何?と聞かれたら、Contact Form7だよ、という人は少なくないのではないかと思います。

これは、コンタクトフォームをショートコードから自動生成するプラグインで、めっぽう使い勝手が良い。

インストールするだけで、問い合わせフォームを作れるし、メールと接続してメールを送ってもらえます。

 

この、WordPressでサイトを作るなら、ほとんどのサイトに入っていると言っても過言ではないContact Form7。間違いなく、最も有名なプラグインの一つですが、それゆえに、

「もう少し使い勝手が良ければなー」という方も多いでしょう。

 

例えば、ある企業ではコンタクトフォームで送信されたメールのセキュリティ対策が問題になりました。メールではセキュリティが低く、なんとかならないか、というもの。

 

そこで、あることを考えた人がいました。

Contact Form7の入力を、そのままDBに格納すればよいのでは?

 

そこでできたのが、Contact Form DB(Contact Form to Database Extension)です。

https://github.com/mdsimpson/contact-form-7-to-database-extension/releases

 

あれ?WordPressの公式サイトには載ってないの?と思う方もいるかも知れません。

ここを見ると、顛末がわかります。

http://sakusaku.me/blog/contact-form-db-dissapear.html

まー要するに、WordPressの公式から、セキュリティ対策があまりにもうるさく言われるので、公式ページに乗せるのを辞めてしまった、というわけです。

 

まあ、DBを直接触るようなものなので、メールに比べれば遥かにシビアなわけで、公式の見解もわからなくはないのですが。

というわけで、現在はgithubからダウンロードしてインストール、という流れです。

キチンとアップデートもされているようなので、まずは安心して使えるのだろう……と思いきや、

脆弱性が出ています。

https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-004234.html

 

内容としては、不適切な入力確認、ということなのですが、対策と原因が無数にあるので、

https://jvndb.jvn.jp/ja/cwe/CWE-20.html

デバッグもかなり難しいのではないかと推測しますが、どうでしょうか。

こういうときに、「公式」がセキュリティにうるさかった、という理由も理解できるのですけどね。

 

LINEで送る
Pocket

こんな記事も読まれています