CVE-2025-9260 in Fluent Forms Plugin
要約
〜によって VulDB • 2026年05月24日
WordPress用プラグイン「Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder」には、バージョン5.1.16から6.1.1にかけて、PHPオブジェクトインジェクションの脆弱性が存在します。これは、parseUserProperties関数内で信頼できない入力の逆シリアル化が行われることで発生します。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済み攻撃者はPHPオブジェクトをインジェクトすることが可能になります。さらにPOPチェーンが存在するため、攻撃者は任意のファイルを読み取ることができます。サーバーでallow_url_includeが有効になっている場合、リモートコード実行が可能になります。
ベンダーはバージョン6.1.0でこの問題を修正しましたが、そのパッチは欠落したクラスインポートのため、脆弱なコードで致命的なエラーを引き起こしました。そのため、6.1.2が最も完全かつ最適なパッチが適用されたバージョンであると判断します。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.