様々な入力フォームをめちゃめちゃ簡単に作れるWordPressプラグイン、Form Maker by WDに脆弱性

入力フォームを作成するのは、通常エンジニアに依頼し、入力された情報をベリファイしたり、エスケープしたりする処理、DBに格納する処理、入力後に画面遷移をする処理などの開発が必要であり、手間がかかります。

それを解決しているのが今回取り上げるプラグイン、Form Maker by WDです。

 

これは結構素晴らしい多機能プラグインで、例えば以下のような複雑な入力フォームをドラッグ・アンド・ドロップだけで作成できます。

フィールドや配置も自由、おまけにドロップボックスやGoogleドライブなどとの連携も可能とあって、すでにアクティブインストール数は10万以上の、有名プラグインです。

詳しい機能などは、以下のビデオでも確認可能ですが、ちょっと使ってみようかな、と思わせる良いプラグインではないかと思います。

 

基本的にフォームは、ユーザーの離脱を引き起こしてしまうので、「フォーム最適化」という言葉が生まれるくらい、試行錯誤とテストが必要な分野です。

それを、逐次、スクラッチで書いていたら、結構な手間、コストを要求されるでしょう。

そこで、こういったプラグインを活用する、ということに合理性が出てくるわけです。

 

もちろん、多機能ということは、それだけセキュリティに穴が生じやすく、今回はインジェクションの脆弱性が出てしまいました。

参考:https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-004559.html

WordPress 用 Form Maker by WD プラグインには、インジェクションに関する脆弱性が存在します。

脆弱性が存在するバージョンは、Form Maker 1.12.24 未満、最新版は1.12.30となっておりますので、最新版に更新することで脆弱性を回避することができます。

 

LINEで送る
Pocket

こんな記事も読まれています