WordPressの人気フォームビルダープラグイン「FormCraft」において、SVGファイルの処理に関するStored XSS(クロスサイトスクリプティング)脆弱性(CVE-2025-0817)が報告されました。
本記事では、この脆弱性の内容、攻撃のリスク、具体的な対策方法について詳しく解説します。
目次
CVEとは?
CVE(Common Vulnerabilities and Exposures)は、ソフトウェアやハードウェアに存在する脆弱性を一意に識別するための標準化された識別番号システムです。
各脆弱性にはCVE識別子(例: CVE-2025-0817)が割り当てられ、セキュリティ研究者や企業が情報を共有しやすくなっています。
CVEはMITRE Corporationによって管理されており、脆弱性の影響範囲や修正情報を提供する重要なデータベースの一部です。
CVE-2025-0817 の概要
今回取り扱う脆弱性はこちらになります。
- CVE ID: CVE-2025-0817
- CVSSスコア: 7.2 (High)
- 脆弱性の種類: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
- CVSS ベクター: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
- 公開日: 2025年2月17日
- 最終更新日: 2025年2月18日
- 報告者: shaman0x01 – Shaman Red Team
CVSS ベクターの詳細と影響
| 項目 | 値 | 説明 |
|---|---|---|
| 攻撃元 (AV) | N (Network) | ネットワーク経由で攻撃可能 |
| 攻撃の複雑さ (AC) | L (Low) | 攻撃が容易で追加の条件を必要としない |
| 必要な権限 (PR) | N (None) | 攻撃者が特別な権限を持たずとも実行可能 |
| ユーザーの関与 (UI) | N (None) | ユーザーの操作なしに攻撃が成立する |
| スコープ (S) | C (Changed) | 攻撃により他のシステムやコンポーネントにも影響が及ぶ可能性 |
| 機密性への影響 (C) | L (Low) | 一部の情報が漏洩する可能性 |
| 完全性への影響 (I) | L (Low) | データの一部が改ざんされる可能性 |
| 可用性への影響 (A) | N (None) | システムの稼働には影響しない |
この脆弱性は、攻撃がネットワーク経由で容易に実行可能であり、管理者やユーザーの関与なしにデータの改ざんや情報漏洩を引き起こす可能性があります。そのため、早急な対策が必要です。
FormCraftでの問題点
- 対象プラグイン: FormCraft(プレミアム版)
- 影響バージョン: 3.9.11 以前
- 脆弱性の種類: Stored XSS(格納型クロスサイトスクリプティング)
- 攻撃の仕組み:
- FormCraftのフォームを利用してSVGファイルをアップロードすると、ファイル内のスクリプトが適切にサニタイズされない。
- これにより、悪意のあるスクリプトを含んだSVGをアップロードし、管理画面やフロントエンドで表示させることでスクリプトが実行される。
- 管理者やユーザーがページを開くと、攻撃者が仕込んだスクリプトが実行される可能性がある。
FormCraftプラグインとは
FormCraftは、WordPress向けのプレミアムフォームビルダープラグインで、ユーザーが直感的なドラッグ&ドロップインターフェースを使用して、カスタマイズ可能なフォームを簡単に作成・管理できるツールです。
このプラグインは、nCraftsによって開発・提供されています。
主な特徴:
- ドラッグ&ドロップビルダー: ユーザーは、コードの知識がなくても、視覚的なインターフェースでフォームを作成・編集できます。
- 多様なフィールドタイプ: テキストボックス、ラジオボタン、チェックボックス、ドロップダウンメニュー、ファイルアップロードなど、さまざまなフィールドをサポートしています。
- レスポンシブデザイン: 作成されたフォームは、デスクトップ、タブレット、スマートフォンなど、さまざまなデバイスで適切に表示されます。
- 統合機能: MailchimpやAWeberなどのメールマーケティングサービス、PayPalなどの支払いゲートウェイと連携し、フォームから直接データを送信できます。
- 分析とレポート: フォームの送信データを分析し、ユーザーの入力傾向や統計情報を取得できます。
- テンプレート: 多様なプリセットテンプレートが用意されており、ユーザーはこれらを基にフォームを迅速に作成できます。
FormCraftは、ユーザー登録フォーム、問い合わせフォーム、アンケート、予約フォームなど、さまざまな用途のフォーム作成に適しています。
公式サイトでは、詳細な情報やデモ、購入オプションが提供されています。
実際の攻撃例(SVGを利用したXSS)
攻撃者は、以下のようなSVGファイルをアップロードし、フォームを通じて悪意のあるスクリプトを注入できます。
<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
<svg xmlns="http://www.w3.org/2000/svg">
<script>
alert('XSS Attack!');
</script>
</svg>SVGファイルとは、XML形式で表現する画像ファイルですが、JavaScriptコードを埋め込むことができます。
このSVGが管理画面やフロントエンドで表示されると、スクリプトが実行され、悪意のあるコードが注入される可能性があります。
影響範囲とリスク
影響を受けるサイト:
- FormCraftプラグインを使用し、SVGファイルのアップロードを許可しているWordPressサイト。
- ユーザーが自由にフォームからファイルを送信できるサイト。
リスク:
- 管理者アカウントの乗っ取り: 管理画面でSVGを開いた際に、攻撃者のスクリプトが実行され、セッション情報やCookieを盗まれる可能性。
- 訪問者への攻撃: フロントエンドでSVGが表示される場合、サイトの訪問者が不正なスクリプトを実行させられる可能性。
プラグインのアップデートを推奨
FormCraftの開発者は、この脆弱性に対応するために最新のパッチを2025年1月30日に公開された3.9.12で提供しました。
そのため、プラグインの使用者は最新バージョンへのアップデートを推奨します。
アップデート手順:
- WordPress管理画面にログイン
- 「プラグイン」 > 「インストール済みプラグイン」 に移動
- FormCraftの更新通知があるか確認
- 「今すぐ更新」 をクリックして最新バージョンへアップデート
また、公式サイト(FormCraft公式ページ)でも最新情報をチェックし、必要に応じて手動で最新バージョンをダウンロード・適用することをおすすめします。
この脆弱性に学ぶ:実装コード
本件のプラグインは有料のため、実際に改修したソースコードは確認することができません。
ですが、SVGファイルによる危険性に対処する実装方法など、考えられる対策方法を紹介します。
1. SVGのアップロードを制限する(最も確実な対策)
WordPressの functions.php に以下のコードを追加し、SVGのアップロードを禁止します。
function block_svg_uploads($file) {
$file_ext = pathinfo($file['name'], PATHINFO_EXTENSION);
if (strtolower($file_ext) === 'svg') {
$file['error'] = 'SVGファイルのアップロードは許可されていません。';
}
return $file;
}
add_filter('wp_handle_upload_prefilter', 'block_svg_uploads');2. SVGのサニタイズ処理を追加する
SVGを利用する必要がある場合は、アップロード時に危険な要素を除去します。
function sanitize_svg($file_path) {
$dom = new DOMDocument();
libxml_use_internal_errors(true);
$dom->loadXML(file_get_contents($file_path), LIBXML_NOENT | LIBXML_DTDLOAD);
libxml_clear_errors();
// 危険なスクリプトやイベント属性を削除
$xpath = new DOMXPath($dom);
$scripts = $xpath->query('//script | //@onload | //@onmouseover | //@onclick | //@onerror');
foreach ($scripts as $script) {
$script->parentNode->removeChild($script);
}
file_put_contents($file_path, $dom->saveXML());
}3. SVGをPNGに変換する(より安全な方法)
SVGを安全に使用するために、アップロード後にPNGやJPEGに変換する方法もあります。
function convert_svg_to_png($svg_path, $png_path) {
$cmd = "convert $svg_path $png_path";
exec($cmd);
}4. Content Security Policy(CSP)を設定する
サーバー側でCSPを設定し、スクリプトの実行を制限します。
metaタグや.htaccessで設定ができるので、.htaccessでの設定例は以下になります。
Header set Content-Security-Policy "default-src 'self'; script-src 'none';"まとめ
今回のWordPress FormCraftプラグインの脆弱性(CVE-2025-0817)は、SVGファイルの適切な処理が行われていないことが原因で発生しました。
最も有効な対策は、プラグインを最新バージョンへ更新することですが、さらにSVGのアップロード制限、サニタイズ処理やCSPの適用を行うことでリスクを低減できます。
コメントを残す