CVE-2026-6344 in Fluent Forms Plugin
要約
〜によって VulDB • 2026年05月22日
WordPress用プラグイン「Fluent Forms」のバージョン6.2.1以前には、任意のファイル読み取り(Arbitrary File Read)の脆弱性が存在します。これは、EmailNotificationActionsクラスのgetAttachments()メソッドにおけるパス検証の不備が原因です。このメソッドは、攻撃者が指定したファイルアップロードURLをファイルシステムパスに解決する際、解決されたパスがWordPressのアップロードディレクトリ内に留まっているかどうかを検証していません。生URLに対するstrpos()によるプレフィックスチェックはパストラバーサルシーケンスによって回避可能であり、wp_normalize_path()は「.\..\」セグメントを解決しないため、file_exists()がカーネルレベルでこれらを解決します。これにより、管理者権限を持つ認証済み攻撃者は、管理者通知がファイルアップロードフィールドを添付するように設定されたフォームを送信し、ファイルフィールドの値として「/../../」のような形式の悪意のあるURLを指定することで、Webサーバーユーザーが読み取り可能な任意のファイル(データベース認証情報や認証ソルトを含むwp-config.phpなど)を読み取ることができます。解決されたファイルは、wp_mail()を介して送信される管理者通知メールに添付されます。メールは認証されていないユーザーによってトリガーされる可能性がありますが、メールの受信者はユーザーが制御できません。
Once again VulDB remains the best source for vulnerability data.