2026年6月8日、WordPress 向けプラグイン Everest Forms Pro に、CVE-2026-3300 として管理される脆弱性が報じられた。研究者の h0xilo が Wordfence のバグバウンティプログラムに報告し、報奨金325ドルを得た。
脆弱性は Complex Calculation 機能の process_filter() 関数にあり、フォームに送信された値をエスケープせずに eval() へ渡すため、認証情報なしで任意の PHP コードを実行できる。攻撃者は公開フォーム経由で管理者アカウント「diksimarina」を作成する。WPEverest は3月18日にバージョン1.9.13で修正し、Wordfence は3月30日に情報を公開した。
悪用は4月13日に始まり、5月16日には24時間で1万7900件超の試行がブロックされた。Wordfence は公開以降に2万9300件超の試行をブロックした。IP アドレス202.56.2.126だけで2万6300件超を占める。
From: Everest Forms Pro WordPress Flaw is Handing Attackers Admin Access
【編集部解説】
まず押さえておきたいのは、この脆弱性が「認証不要(unauthenticated)」で「リモートコード実行(RCE)」を許すという、最も警戒度の高い組み合わせである点です。深刻度を示す CVSS スコアは10点満点中9.8と評価されており、これは「緊急(Critical)」の上位に位置します。元記事には記載がありませんでしたが、危険度を測るうえで重要な数値ですので補っておきます。
技術的な核心は、原文が指摘するとおり「サニタイズ(無害化)」と「エスケープ(無効化)」が別物だという点にあります。問題の sanitize_text_field() は、本来は画面表示や保存の際に安全を保つための関数であり、PHP のコードとして実行される文脈での安全性までは保証しません。表示上は「掃除済み」に見える文字列が、eval() に渡された瞬間に実行可能なコードへ化けてしまう。ユーザー入力からコードを組み立てて eval() に渡すという設計そのものが、根の深い危うさを抱えていたわけです。
規模感についても補足が要ります。Everest Forms Pro は WPEverest 社が提供する商用プラグインで、稼働数はおよそ4000件と報じられています。原文は「数千のサイトが未更新」と表現していましたが、総稼働数が約4000件であることを踏まえると、未更新サイトの数はその範囲内と読むのが正確でしょう。
ここで見逃せないのが、稼働数が約4000件にとどまる一方で、ブロックされた攻撃試行は2万9300件超、5月16日の1日だけで1万7900件超に達したという非対称性です。攻撃者は標的を選んで狙うのではなく、脆弱なプラグインを使うサイトを無差別に走査して撃ち込みます。「導入数が少ないから安全」という直感が通用しないことを、この数字は示しています。
注目すべきは、修正版(バージョン1.9.13)が3月18日にすでに公開されていた点です。攻撃が始まった4月13日や大規模化した5月16日の時点で、防ぐ手段はすでに世に出ていました。攻撃者が突いたのはコードの穴であると同時に、「パッチはあるのに更新しない」という運用上の空白だったのです。本当の弱点は、しばしばソフトウェアではなく人間の側にあります。
「diksimarina」という固定の管理者名を使う手口は、防御側にとっては検知の目印(IoC)になります。裏を返せば、これは職人芸ではなく自動化・量産化された攻撃であることの証でもあります。攻撃が「商品化」され、誰でも回せるツールになっている現実が透けて見えます。
長期的な視点では、WordPress エコシステムが抱える構造的な課題が浮かび上がります。世界のウェブサイトの相当数を支えるプラットフォームでありながら、機能の多くがサードパーティ製プラグインに依存しており、その一つひとつがサプライチェーン上のリスクになりうる。WAF(ファイアウォール)による「仮想パッチ」は時間を稼ぐ有効な手段ですが、Wordfence 自身が強調するように、根本のプラグインを更新しない限り安全とは言えません。仮想パッチは延命であって治療ではない、という認識が重要です。
innovaTopia がいま本件を取り上げるのは、これが単発の事件ではなく、ソフトウェアが社会基盤になった時代に繰り返される構造的な問題だからです。便利な「フォーム」一つがサイト全体の乗っ取り口になりうる。利便性と引き換えに何を引き受けているのかを、作り手も使い手も問い直す契機として受け止めたいところです。
【用語解説】
CVE-2026-3300
脆弱性を一意に識別するための共通番号が「CVE(共通脆弱性識別子)」である。今回の番号は2026年に登録されたもので、世界中の研究者や防御側が同じ脆弱性を指して議論するための共通言語として機能する。
CVSS(共通脆弱性評価システム)
脆弱性の深刻度を0〜10の数値で標準化して示す指標である。今回の9.8は最上位の「緊急(Critical)」に該当し、攻撃の容易さと被害の大きさがいずれも極めて高いことを意味する。
RCE(リモートコード実行)
攻撃者が遠隔から標的のサーバー上で任意のプログラムを実行できてしまう状態を指す。サーバーの主導権を握られるため、被害の中でも最も深刻な部類に分類される。
認証不要(Unauthenticated)
攻撃の実行にログインやアカウントを一切必要としない性質を指す。誰でも公開フォームに入力するだけで攻撃が成立するため、危険度が跳ね上がる。
eval()
文字列として渡されたコードを、その場でプログラムとして実行する PHP の関数である。利用者の入力をそのまま eval() に渡す設計は、外部からの命令を無防備に実行させる温床になりやすい。
sanitize_text_field()
WordPress が用意する入力の無害化関数である。表示や保存の場面では有効だが、コードとして実行される文脈で必要なシングルクォートの無効化までは行わないため、今回は防御として機能しなかった。
process_filter() / Complex Calculation
process_filter() は、フォームの入力値を計算処理へ受け渡す Calculation Addon 内の関数である。Complex Calculation(複雑な計算)は、フォーム上で動的に数式を扱う機能で、今回の侵入経路となった。
wp_insert_user()
新しいユーザーを WordPress に登録するための公式関数である。攻撃者はこれを悪用し、管理者権限を持つ不正アカウントを生成していた。
ウェブシェル(Web Shell)
攻撃者がサーバー上に設置する、遠隔操作用の不正プログラムである。これを仕込まれると、管理者アカウントを削除されても支配を維持される恐れがある。
ペイロード(Payload)
攻撃の目的を達成するために送り込まれる、実際の中身となるコードやデータを指す。今回は管理者アカウントを作る PHP 文がペイロードにあたる。
バグバウンティ(Bug Bounty)
製品の脆弱性を見つけて報告した研究者に、企業が報奨金を支払う制度である。攻撃者より先に善意の研究者が穴を見つける仕組みとして、業界に定着している。
IoC(侵害指標)
攻撃や侵害の痕跡を示す手がかりを指す。今回は管理者名「diksimarina」や特定の発信元 IP アドレスが該当し、被害確認の目印になる。
WAF(ウェブアプリケーションファイアウォール)/ 仮想パッチ
不正なアクセスを通信の入り口で遮断する防御機構が WAF である。脆弱性そのものを直さずに攻撃だけを止める手当てを「仮想パッチ」と呼ぶが、これは時間稼ぎであり根本修正の代わりにはならない。
【参考リンク】
Everest Forms(公式サイト)(外部)
今回の脆弱性が報告された WordPress 向けのフォーム作成プラグインの公式サイト。製品の概要や機能、価格体系を確認できる。
WPEverest(開発元)(外部)
Everest Forms を開発・提供する企業の公式サイト。フォーム以外にも複数の WordPress 向けプラグインを手がけている。
Wordfence(公式サイト)(外部)
今回の脆弱性を解析・報告した WordPress 専門のセキュリティ企業の公式サイト。ファイアウォールやマルウェアスキャンを提供している。
Everest Forms(WordPress.org プラグインページ)(外部)
無料版 Everest Forms の公式配布ページ。稼働中のサイト数やバージョン情報、更新履歴などの一次情報を確認できる。
【参考記事】
Hackers Exploit Critical Everest Forms Pro WordPress Plugin Flaw to Take Over Sites(The Hacker News)(外部)
深刻度を CVSS 9.8(緊急)と明記し、稼働数約4000件、影響範囲がバージョン1.9.12以前、修正版が3月18日公開の1.9.13であることを整理している。
Critical Everest Forms Pro flaw exploited to take over WordPress sites(BleepingComputer)(外部)
ブロックされた攻撃試行が2万9300件超であること、研究者 h0xilo が2月に報告していたこと、主要な発信元 IP の遮断推奨を報じている。
Everest Forms Pro Vulnerability Allows Remote Code Execution(Infosecurity Magazine)(外部)
稼働数約4000件の商用プラグインであること、攻撃開始が4月13日、5月16日の1日で1万7900件超が集中したことを伝えている。
Hackers Actively Exploiting WordPress Plugin Vulnerability to Inject Malicious PHP Code(Cyber Security News)(外部)
公開日3月30日、CVSS 9.8、Wordfence 有料版が2月27日・無料版が3月29日にルール適用済みだった点を整理している。
Everest Forms Pro CVE-2026-3300 RCE(Vulert)(外部)
「サニタイズはコード文脈でのエスケープと同義ではない」という技術的な核心を明快に指摘し、設計上の危うさを掘り下げる際に参照した。
【関連記事】
WordPress Aloneテーマ脆弱性でサイト乗っ取り被害拡大、約12万回攻撃をブロック(内部)
CVSS 9.8の認証不要脆弱性をWordfenceが約12万回ブロックし、不正管理者が作成された事案。今回と攻撃構造が最も近い記事である。
WordPress Post SMTP 脆弱性|未認証攻撃で管理者アカウント乗っ取りが可能に(内部)
未認証で管理者権限を奪われる事案。パッチ公開後も大量の未更新サイトが残るという論点が今回と共通する。
WordPress「King Addons」脆弱性|管理者を乗っ取るCVE-2025-8489(内部)
権限昇格による不正な管理者アカウント作成の事案。攻撃回数とIPアドレスを計上する報じ方が今回と共通する。
【編集部後記】
「たかが問い合わせフォーム」が、サイトまるごとの乗っ取り口になる。今回の一件は、便利さの裏で私たちが何を引き受けているのかを、静かに問いかけてくるように感じます。みなさんが使っているサービスやプラグインは、いま最新の状態でしょうか。
そして「修正版は出ているのに、更新が間に合わない」という空白を、どう埋めていけるでしょうか。便利さと安全のあいだで揺れるこの問いを、私たちもみなさんと一緒に考え続けていきたいと思っています。
