WordPressプラグイン「Forminator」に脆弱性｜想定される被害と対策

WordPressサイトでフォームを作成するプラグイン「Forminator」に、時限爆弾型攻撃がされる重大な脆弱性（CVE-2025-6463および6464ｂ）が見つかりました。その影響は、60万以上のサイトに及ぶといわれています。

脆弱性の評価はCVSSスコア8.8（High）ときわめて高く、認証されていない攻撃者がリモートから任意のファイルを削除し、サイト全体を乗っ取る可能性があるため、速やかに対策しなければいけません。

この記事では、WordPressプラグイン「Forminator」に見つかった重大な脆弱性について詳しく解説します。

具体的にどのような被害が想定されるのか知りたい方、どのように対策すれば良いのかを理解したい方は、ぜひ最後までお読みください。

WordPressプラグイン「Forminator」とは

WordPressプラグイン「Forminator（Forminator Forms – Contact Form, Payment Form & Custom Form Builder」）」は、多機能なフォームを作成するためのツールです。

お問い合わせフォームや支払いフォーム、カスタムフォームなど、さまざまな種類のフォームを簡単に作成できる利便性から、現在600,000以上のWordPressサイトで利用されています。

インストールすると、プログラミングの知識がなくても、ユーザーからの情報収集や支払い処理を効率的に行える点がメリットです。現在では、60万以上のWebサイトで活用されています。

WordPress「Forminator」に見つかった重大な脆弱性

WordPressプラグイン「Forminator Forms – Contact Form, Payment Form & Custom Form Builder」のバージョン1.44.2以下のすべてのバージョンで、きわめて深刻な脆弱性（CVE-2025-6463および6464）が見つかりました。

参照元：CVE-2025-6463｜CVE

参照元：CVE-2025-6464｜CVE

この脆弱性は「時限爆弾型的攻撃」を可能にするもので、攻撃者が悪意のあるデータを送信した後、特定の条件が満たされた瞬間にサイトに大きな損害を与える恐れがあります 。

また、システムの重要なファイルが削除されたり、サイト全体が乗っ取られる危険性をはらんでいるため、迅速な対応が必要です。

ここでは、脆弱性の原因と修正されたバージョンを詳しく解説します。

脆弱性の原因

WordPressプラグイン「Forminator Forms – Contact Form, Payment Form & Custom Form Builder」で見つかった脆弱性の原因は、大きく分けると3つあります。

1. 時限爆弾型攻撃がされる仕組みが整っている
2. パストラバーサル攻撃をされる可能性
3. PHP Object Injection攻撃をされる可能性

それぞれ詳しく解説します。

時限爆弾型攻撃がされる仕組みが整っている

脆弱性（CVE-2025-6463および6464）に起因する問題は、時限爆弾型攻撃の仕組みが整っていることです。

攻撃者がフォームに悪意のあるファイルパス情報を送信すると、データ自体は一時的に無害な状態でサーバーに保存されます。しかし、管理者が通常のエントリ削除作業を行った際や、プラグインの自動削除機能が働いた瞬間に、保存された悪意のあるデータが実行され、攻撃が発動する仕組みです。

パストラバーサル攻撃をされる可能性

パストラバーサル攻撃が可能な点も、脆弱性に起因しています。

これは「../../../wp-config.php」のような相対パス指定を悪用し、本来なら削除すべきでないシステムファイルを削除する攻撃です。

何の対処もしないまま放置すると、WordPressの重要ファイルが破壊される危険があります。

PHP Object Injection攻撃をされる可能性

PHP Object Injection攻撃も、脆弱性における起因のひとつです。

POP chain（連鎖反応の仕組み）を悪用し「phar://プロトコル」を使って悪意のあるオブジェクトが注入されます。

この攻撃により、他のプラグインと組み合わさって攻撃の威力が増大する恐れがあります。

修正されたバージョン

脆弱性（CVE-2025-6463および6464）は、Forminatorプラグインのバージョン1.44.3以降で修正されています。

したがって、利用しているWordPressサイトの管理者は、直ちに最新バージョンへ更新してください。

修正バージョンにアップデートすれば、時限爆弾型攻撃やパストラバーサル攻撃、PHP Object Injection攻撃のリスクからサイトを保護できます。

セキュリティを確保するには、最新かつ修正済みのバージョンの使用が欠かせません。サイトの安全性を維持するためにも、プラグインの最新情報は随時確認しましょう。

WordPressプラグイン「Forminator」の脆弱性で想定される被害

WordPressプラグイン「Forminator」の脆弱性で想定される被害は、主に5つあります。

1. サイトの乗っ取り
2. サイト停止による事業機会の損失
3. 顧客情報の漏えい
4. 時間差攻撃
5. 自動削除（自動攻撃）

それぞれ詳しく見ていきましょう。

サイトの乗っ取り

WordPressプラグイン「Forminator」の脆弱性が悪用された場合、サイトが乗っ取られる危険性があります。

WordPressを設定するファイル「wp-config.php」が削除されると、管理画面が掌握されるリスクが高まります。これにより、攻撃者はサイトのあらゆる情報を自由に操作できるようになるため、サイト全体の改ざんや悪意のあるコードの埋め込みなどが容易になるわけです。

何の対応もしないと、気づかないうちにサイトの所有権が奪われ、危険な被害を受ける可能性があります。

サイト停止による事業機会の損失

WordPressサイトが攻撃者に乗っ取られたり、重要なファイルが削除されたりすると、Webサイトが停止する可能性があります。

たとえば、ECサイトなら商品が販売できなくなり、情報サイトなら情報の提供ができなくなるなど、事業機会の損失に直結しやすいです。

この状況はビジネスの継続性に大きな影響を与えるだけでなく、復旧に多大な時間と費用がかかることが予想されます。

また、サイトが機能しなくなると顧客へのサービス提供も中断され、信頼の失墜に繋がりかねません。

顧客情報の漏えい

WordPressサイトが攻撃によって掌握されると、保存されている個人情報や機密データが流出する恐れがあります。

主に、フォームを通じて収集された以下の顧客データです。

1. 氏名
2. メールアドレス
3. 電話番号
4. 支払い情報

顧客情報の漏えいは、企業にとって損害賠償責任が発生するだけでなく、企業や組織の信頼を失墜させ、風評被害にも繋がる深刻な問題です。流出した情報は取り戻すことが難しく、その影響は甚大といっていいでしょう。

時間差攻撃

脆弱性（CVE-2025-6463および6464）の特徴は、時間差攻撃が可能な点です。

攻撃者がフォームに悪意のあるデータを送信しても、それがすぐに発動するわけではありません。

フォーム送信から数日、あるいは数週間後に突然発動する可能性があります。

場合によっては通常の管理作業中に被害が発生するため、原因の特定が困難になりやすいです。

また、攻撃の痕跡が残りにくく、事後調査も困難な点も厄介な部分です。

自動削除（自動攻撃）

脆弱性（CVE-2025-6463および6464）は、管理者が操作しなくても、自動削除設定が働いた瞬間に攻撃される可能性があります。

これは「自動削除による無防備な攻撃」と呼ばれており、深夜や休日など、管理者が不在の時に被害が発生しやすいです。したがって、複数のサイト脆弱性を悪用されると、同時多発的な被害に繋がる可能性も否定できません。

攻撃は管理者が見過ごしやすいタイミングで実行されるため、細心の注意と早期の対策が必要です。

WordPressプラグイン「Forminator」の脆弱性を対策する方法

WordPressプラグイン「Forminator」の脆弱性を対策する方法は、以下のとおりです。

1. 最新バージョンへのアップデート
2. Forminatorのログ監視を強化する
3. セキュリティプラグインのインストール
4. プラグイン更新の自動化
5. 定期バックアップを自動化する

それぞれ詳しく解説します。

最新バージョンへのアップデート

何よりも先に実行しなければならないのは、Forminatorプラグインを最新バージョン（1.44.3以降）に更新することです。更新されたバージョンには、脆弱性を修正するためのパッチが含まれています。

アップデートを行う前には、万が一の事態に備えてサイト全体のバックアップを必ず実施してください。

プラグインのアップデートは、WordPress管理画面（ダッシュボード＞更新）から簡単にできます。

アクセスできないなどの異常がある場合は、レンタルサーバー会社のサポートやWordPressの復旧業者に問い合わせましょう。

Forminatorのログ監視を強化する

WordPressプラグイン「Forminator」の脆弱性を悪用した攻撃は、時間差で発動する可能性があるため、フォーム送信におけるログ監視の強化が有効です。

WordPress管理画面から、Forminator＞Submissionsと進み、過去のフォーム送信内容に異常な送信がないか、特にファイルアップロード項目に不審なパス（「../」を含むもの）がないかを確認しましょう。

特に、長期にわたって削除していないエントリは念入りに点検するべきです。

疑わしいエントリを見つけた場合は、慎重に確認した上で削除してください。

セキュリティプラグインのインストール

WordPressのセキュリティを強化すると、プラグインに脆弱性が見つかってもリスクを軽減できる可能性が高まります。

不正なログイン試行のブロックやマルウェアのスキャン、ファイアウォール機能による攻撃からの保護など、サイトの安全性が高めてくれる実績のあるセキュリティプラグインを導入すれば、WordPressサイトの安全確保が可能です。

特に、Wordfence Securityは世界中のユーザーから利用され、多岐にわたるセキュリティ対策ができるプラグインです。

導入すると、Forminatorだけでなく多種多様なプラグインの脆弱性からもサイトを保護できます。

プラグイン更新の自動化

WordPressプラグインの脆弱性は、日々発見されます。そのため、プラグインの自動更新を有効にするのも有効です。

これにより、手動で更新する手間を省けるほか、最新のセキュリティパッチが常に適用される状態を維持できます。

ただし、プラグインの自動更新は稀にサイトの表示崩れや機能不全を引き起こす可能性があるため、更新後はサイトの動作確認を行いましょう。

定期バックアップを自動化する

重要なファイルが削除される可能性がある攻撃に対しては、サイト全体の定期バックアップを自動化して安全を確保しましょう。

特に、WordPressの設定ファイル（wp-config.php）やデータベースなど、サイトの復旧に欠かせないファイルは、毎日バックアップを設定すると安心です。万が一、攻撃を受けてサイトが破壊された場合でも、最新のバックアップがあれば迅速に復旧できます。

自動バックアップは手動での作業の手間を省けるだけでなく、常に最新の状態を保てる点がメリットです。

まとめ

WordPressプラグイン「Forminator」のバージョン1.44.2以下には、時限爆弾型攻撃を可能にする重大な脆弱性が見つかっています。

この脆弱性は悪意のあるデータがフォームを通じて送信され、管理者のエントリ削除作業時や自動削除機能が働いた瞬間に発動し、サイトの乗っ取りや重要なファイルが削除されるリスクがあります。

まずはサイト全体のバックアップを行い、最新バージョン1.44.3以降にアップデートしてください。

加えて、Forminatorのログ監視を強化し、不審な送信がないか確認しましょう。