Contact Form 7のアドオン『Redirection For Contact Form 7』に脆弱性

30万以上のウェブサイトにインストールされている「Contact Form 7」用の人気アドオン（拡張機能）に、脆弱性が発見されました。 この脆弱性を悪用されると、攻撃者によって悪意のあるファイルをアップロードされたり、サーバー上のファイルを勝手にコピーされたりする危険性があります。

対象プラグイン：Redirection For Contact Form 7

Themeisle社が提供する「Redirection for Contact Form 7」は、有名なプラグイン「Contact Form 7」のアドオンです。 このプラグインを使うと、お問い合わせフォームの送信が完了した後に、ユーザーを特定のページへ転送（リダイレクト）させたり、送信された情報をデータベースに保存したりといった機能を追加することができます。

ログイン不要で攻撃を受ける危険性について

この脆弱性が特に深刻な理由は、「未認証（認証なし）」で攻撃が可能である点にあります。 つまり、攻撃者はサイトにログインする必要もなければ、特定のユーザー権限（「購読者」など）を盗み取る必要もありません。誰でも攻撃を仕掛けられる状態であるため、悪用されるハードルが非常に低くなっています。

Wordfenceによる報告：

「WordPressプラグイン『Redirection for Contact Form 7』のバージョン3.2.7以下のすべてにおいて、任意のファイルをアップロードできる脆弱性が確認されました。

原因は、『move_file_to_upload』という機能において、ファイル形式のチェック（バリデーション）が欠けているためです。 これにより、認証されていない攻撃者であっても、サーバー上に勝手にファイルをコピーすることが可能になります。さらに、サーバー設定の『allow_url_fopen』が『On』になっている場合、外部の不正なファイルをサーバーへアップロードされる恐れがあります。」

サーバー設定によるリスクの緩和

ただし、報告の最後に触れられている条件が、攻撃の難易度を少し上げています。 『allow_url_fopen』とは、PHP（プログラム言語）がファイルをどう扱うかを制御する設定です。PHPの初期状態では「On」になっていますが、多くのレンタルサーバー（共有ホスティング）では、セキュリティ対策として日常的に「Off」に設定されています。

結論と対策

「ログイン不要」という点では攻撃を受けやすい脆弱性ですが、攻撃を成功させるにはサーバー側の『allow_url_fopen』設定が「On」になっている必要があるため、実際に悪用される確率はある程度低くなっています。

いずれにせよ、当該プラグインを利用しているユーザーは、速やかにバージョン3.2.8以降へアップデートすることを強く推奨します。