これはセキュリティとメンテナンスのための緊急リリースです。今すぐ更新してください。
ディレクトリトラバーサルの脆弱性が MW WP Form v4.4.2 以前のバージョンに見つかりました。この脆弱性を利用することで、悪意あるフォーム送信者は本来参照できないサーバー上のファイルを参照することができ、結果としてサーバのリソース枯渇による DoS または WordPress の再インストール(RCE)につながります。
また、画像アップロード項目、ファイルアップロード項目を作成していない場合でも、問い合わせフォームの HTML ソースコードを input タグに変更することで、任意のファイルを公開ディレクトリにアップロードすることができ、悪意あるフォーム送信者が任意のファイルを当該ドメインから配布することが可能です(デフォルトでは WordPress 側のファイルタイプ検証を通るため、あらゆるファイルをアップロードすることはできませんが、サーバー側の設定によっては悪意あるフォーム送信者が任意のファイルをアップロードできる可能性があります)。
対策方法
WordPress のダッシュボードから MW WP Form を最新版にアップデートしてください。ダッシュボードに更新通知が表示されない場合は WordPress.org から最新版の MW WP Form の zip ファイルをダウンロードし、WordPress のダッシュボードから当該 zip ファイルをアップロードしてアップデートしてください。
主な変更点
- フォームからアップロードしたファイルが保存される一時ディレクトリに .htaccess を設置するようにし、アップロードされたファイルが閲覧できないようにする。
- 上記の変更に伴い、確認画面で画像やファイルの閲覧はできなくなります。
- メールにはファイル URL は記載されず、ファイル名のみが記載されます。
- メールに添付するファイルが一時ディレクトリ配下のものか検証するようにする。
- アップロードされたファイルがファイルアップロード項目、画像アップロード項目のものか検証する。