トップ/記事一覧/WordPressフォーム作成プラグイン『Super Forms』にサイト乗っ取りの脆弱性 CVE-2026-14894、ログイン不要で悪用可・最新版へ即更新を
superforms-cve-cover-ja

WordPressフォーム作成プラグイン『Super Forms』にサイト乗っ取りの脆弱性 CVE-2026-14894、ログイン不要で悪用可・最新版へ即更新を

多くのサイトで使われるWordPressの有料フォーム作成プラグイン『Super Forms』に、ログインなしで誰でも悪意あるファイルを送り込み、サーバー上で自由にプログラムを実行してサイトを乗っ取れる脆弱性CVE-2026-14894(危険度9.8)が見つかりました。6.3.313以前が対象。開発元が修正を公開しており、最新版へ更新すれば防げます。対象と今すぐの対策を解説します。

ニュース2026年7月10日公開 本日更新
目次
この記事のポイント

多くのサイトで使われるWordPressの有料フォーム作成プラグイン『Super Forms』に、ログインなしで誰でも悪意あるファイルを送り込み、サーバー上で自由にプログラムを実行してサイトを乗っ取れる脆弱性CVE-2026-14894(危険度9.8)が見つかりました。6.3.313以前が対象。開発元が修正を公開しており、最新版へ更新すれば防げます。対象と今すぐの対策を解説します。

WordPressのサイトに問い合わせフォームや申込フォームを設置できる人気の有料プラグイン「Super Forms(スーパーフォームズ)」に、ログインも会員登録もしていない第三者が、悪意あるファイルを送り込んでサーバーごとサイトを乗っ取れる深刻な欠陥が見つかりました。識別番号はCVE-2026-14894で、危険度は10点満点中9.8と最上位クラスです。

怖いのは、悪用にログインも利用者のクリックも一切必要ない点です。攻撃者はフォームの送信窓口を突くだけで、サーバー上で自由にプログラムを動かせる状態になります。これは遠隔からのコード実行(RCE)と呼ばれ、脆弱性の中でも最も重い部類に入ります。対象はSuper Forms 6.3.313以前の全バージョンで、開発元が修正を公開済みです。Super Formsを使っているサイトは、今すぐ最新版へ更新してください

Super Formsとは何か

Super Formsは、WordPressで作ったサイトに、問い合わせ・見積依頼・予約・アンケートといった各種フォームを、部品をドラッグ&ドロップで並べるだけで設置できる有料プラグインです。プラグインとは、WordPressに後から機能を足す拡張部品のことです。決済連携やメール自動送信など高機能なことから、数万件規模で販売されてきた定番のフォーム作成ツールとして、制作会社や個人サイトで広く使われています。

フォーム作成プラグインの多くは、利用者が履歴書や画像などを添付できる「ファイルアップロード」の機能を備えています。便利な反面、「どんなファイルでも受け付けてしまう」と、プログラムファイルを送り込まれてサーバーを乗っ取る入口になり得るという、この種の機能につきまとう危うさがあります。今回問題になったのは、まさにこのフォーム送信とファイル受け取りの処理でした。会員登録機能で似た穴が突かれたWordPressプラグインUsersWPの脆弱性と同じく、「外部の入力を受け入れる窓口」ほど狙われやすいという共通点があります。

何が危険なのか、どこまで被害が広がるのか

今回の欠陥は、専門用語では「任意ファイルアップロード」と呼ばれる不備です。本来フォームは、画像やPDFなど決められた種類のファイルだけを受け取るべきですが、Super Formsの送信処理はファイルの種類を確かめずに受け取ってしまう状態になっていました。その結果、攻撃者はサーバー上で命令を実行できるプログラムファイル(PHPファイルなど)を送り込めます。

送り込まれたプログラムがサーバー上で実行されると、攻撃者はそのサイトの管理権限を奪い、ページの改ざん、会員情報や問い合わせデータの持ち出し、サーバーを踏み台にした別サイトへの攻撃まで、事実上何でもできるようになります。単に「ファイルが1つ置かれた」では済まず、サイトとその裏側のサーバーを丸ごと支配されるということです。危険度9.8という数字は、この「特別な権限も利用者の操作もなくサーバーを奪える」点を反映しています。

悪用に必要な前提はほとんどありません。攻撃者はログインも会員登録も不要で、ただフォームのある公開ページに対して細工した通信を送るだけです。Super Formsを設置したページがインターネットに公開されていれば、ネット上を自動でうろつくプログラムに見つかった時点で、無差別に狙われ得ます。攻撃の難度が低く、奪えるものが大きいという組み合わせが、この欠陥を特に危険にしています。

誰がこの穴を狙い、何が起きるのか

この脆弱性を突くと想定されるのは、サイトを改ざんして偽ページやスパム送信の踏み台にする攻撃者や、サーバーを乗っ取って身代金を要求するランサムウェア集団です。ログインすら不要で仕掛けられるため、彼らは脆弱なSuper Formsを自動で探し回り、見つけ次第まとめて攻撃します。制作を外注したまま更新が止まっているサイトほど、格好の的になります。

攻撃の流れは驚くほど簡単です。攻撃者はログインも会員登録もせずに、フォームの送信窓口へ悪意あるプログラムファイルを送り込み、それをサーバー上で実行してサイトの支配権を奪います。技術的な詳細は後述しますが、必要なのはわずか数回の通信だけで、被害者側のクリックや操作は一切要りません。

結果として、サイトを運営する個人や事業者は、公開ページを改ざんされたり、フォームから集めた顧客の個人情報を丸ごと抜かれたりします。乗っ取られたサイトは、知らないうちにフィッシングやマルウェア配布の拠点にされ、閲覧者にも被害が及びかねません。ひとたび制御を奪われると復旧には時間も費用もかかり、サイトの信用そのものが傷つきます。WordPressプラグインの欠陥を突いた乗っ取りは、毎月のように大量に報告されているのが実情です。

技術的に見ると何が起きているのか

問題は、フォームを送信する処理の作りにありました。識別番号が一つ割り当てられています。

CVE-2026-14894:ファイルの種類を確かめずに受け取り、実行を許してしまう

Super Formsには、フォームの送信を受け付けるsubmit_formという処理があります。本来ここでは、添付されたファイルが画像やPDFなど「安全な種類」かどうかを確認し、サーバー上で実行できるプログラムファイルは拒否すべきでした。ところが実際には、ファイルの種類を検証する仕組みが抜けており、しかもこの送信処理を呼び出す窓口(AJAXハンドラー)に、操作してよい相手かを確かめる権限チェックもありませんでした。米国立標準技術研究所(NIST)はこれを、危険な種類のファイルを無制限にアップロードできる分類(CWE-434)として整理しています。

攻撃の手口はこうです。攻撃者はまず、別の公開エンドポイントから、送信に必要な正規の合言葉(nonce、本来はいたずら防止用の使い捨てトークン)を手に入れます。あとはわずか2回の通信で、実行可能なプログラムファイルをサーバー上に設置できてしまいます。設置されたファイルはWebから直接呼び出して実行できるため、そのままサーバー上で攻撃者の命令が走ります。ログインは不要(権限要件なし)、利用者の操作も不要という、CVSSの内訳でも最も重いプロファイルです。開発元はファイルの種類と権限を正しく確認する形に修正しており、6.3.313より後のバージョンで解消されています。

Super Formsは同じ種類の穴を繰り返してきた

実は、Super Formsが任意ファイルアップロードの穴を指摘されたのは今回が初めてではありません。2021年にも、ログイン不要でプログラムファイルをアップロードできる同種のRCE(当時のバージョン4.9.700以前が対象、4.9.703で修正)が公表されています。フォームの添付ファイル機能という「外部から実行ファイルを送り込める入口」は、検証が甘いと繰り返し乗っ取りの穴になりやすい、という典型でございます。

同じ轍を踏まないために大切なのは、フォームプラグインを常に最新に保つことと、アップロードされたファイルを「Web上から直接実行できない場所」に保存する運用です。便利な機能ほど、受け取る側の検証と保存場所の設計が甘いと危険が跳ね上がります。ファイルの受け取りを伴う機能で乗っ取りに至る事故は、予約受付プラグインLatePointの脆弱性のように、製品を問わず繰り返し起きています。

影響を受けるバージョンと対策

対象となるのはSuper Forms 6.3.313以前の全バージョンです。開発元が修正を公開しているため、6.3.313より後の最新版へ更新するのが根本対策です。Super Formsは主にCodeCanyonなどで販売される有料プラグインのため、購入元やプラグインの管理画面から最新版を入手して適用してください。

今の状況危険度やること
6.3.313以前
×
フォームを公開中
最も危険
(無認証RCE)
今すぐ最新版へ更新
更新まで公開停止も検討
6.3.313以前
×
非公開・検証環境
要更新早めに最新版へ更新
6.3.313より後
(最新版)
対策済みこの穴は塞がれている

すぐに更新できない事情がある場合の一時しのぎとして、Super Formsのファイルアップロード機能を一時的に無効にするフォームを設置したページを一時的に非公開にする、といった手当てで悪用の入口を狭められます。あわせて、身に覚えのないファイルがサーバーのアップロード先フォルダに増えていないかも確認しておくと安心です。ただしこれらは時間稼ぎであり、根本的には最新版への更新が必要です。

確認できていること、まだ分からないこと

✓ 確認済みの事実

  • 無認証・利用者操作なしで、フォーム送信処理から任意のファイルをアップロードでき、RCEに至る(NVD
  • 原因はsubmit_formでのファイル種別の未検証と、AJAX窓口の権限チェック欠落(CWE-434)
  • 対象は6.3.313以前で、開発元が修正を公開済み。危険度は9.8(NVD

? まだ確認されていないこと

  • ?この脆弱性が実際の攻撃に悪用されたという公式な報告は、公開時点で確認されていない
  • ?米政府CISAが公開する「実際に攻撃が確認された脆弱性リスト(KEV)」には、公開時点で登録されていない(KEVの最新状況はこちらで確認できる
  • ?無認証のRCEは攻撃者に狙われやすく、公開後は悪用が始まりやすい点に注意が必要

今すぐできる対策

対策の軸ははっきりしています。Super Formsを6.3.313より後の最新版へ更新することが最優先です。有料プラグインのため、WordPress管理画面に更新通知が出ていない場合は、購入元(CodeCanyonのアカウントや配布元)から最新版を取得して差し替えてください。無認証で悪用できるタイプのため、放置した分だけ危険にさらされる時間が延びます。

更新の前後では、すでに悪用されていないかの点検もしておくと安心です。サーバーのアップロード先フォルダ(wp-content/uploads配下など)に、見覚えのないPHPファイルなどが置かれていないかを確認し、あれば削除して侵入経路を調べます。心配な場合は、バックアップからの復元やセキュリティ専門業者への相談も検討してください。使っていないプラグインを削除し、有効なものだけを最新に保つのが、WordPressを守る基本です。

立場今できること優先度
サイト運営者最新版へ更新
更新まで公開停止・添付機能停止
最優先
制作を請け負う人納品先のバージョン確認
不審ファイルの点検
すでに侵入の疑い不審PHPの削除・侵入経路調査
バックアップ復元を検討

よくある質問

Q. 自分のサイトがSuper Formsを使っているか、どう確認すればいいですか。

A. WordPressの管理画面にログインし、左メニューの「プラグイン」を開くと、有効なプラグインの一覧に「Super Forms」があるかどうかで分かります。バージョン番号も表示されるので、6.3.313以前であれば更新が必要です。制作会社に任せている場合は、担当者にバージョンの確認と更新を依頼してください。

Q. フォームにファイル添付を使っていなければ安全ですか。

A. 添付を使っていないフォームでも、プラグイン自体に送信処理の穴があるため、安全とは言い切れません。確実なのは、最新版へ更新することです。すぐに更新できない場合は、フォームのページを一時的に非公開にする、Super Formsを一時的に無効化するなどで、悪用の入口を狭めてください。

Q. すでに攻撃に悪用されているのですか。

A. 本記事の公開時点で、この脆弱性が実際の攻撃に使われたという公式な報告は確認されていません。米政府CISAの攻撃確認リスト(KEV)にも登録されていません。ただし無認証で悪用できるうえ、Super Formsは過去にも同種のアップロードの穴を突かれた経緯があり、公開後に悪用が始まりやすいため、早めの更新が安全です。

Q. 乗っ取られたかどうか、どう見分ければいいですか。

A. サーバーのアップロード先フォルダ(wp-content/uploads配下など)に、見覚えのないPHPファイルや不自然な名前のファイルが置かれていないかを確認してください。身に覚えのない管理者アカウントの追加、ページの改ざん、外部への不審な通信なども兆候です。判断が難しい場合は、バックアップからの復元や、セキュリティ専門業者への相談を検討してください。

まとめ

今回の件は、便利なフォーム作成プラグインが、ファイルの種類を確かめずに受け取っていたために、ログインなしの第三者からプログラムファイルを送り込まれ、サーバーごとサイトを乗っ取られ得るという話です。CVE-2026-14894は無認証・利用者操作なしで悪用でき、危険度は最上位クラスの9.8。数万件規模で使われてきた定番プラグインで、しかも同種の穴は過去にも突かれています。

救いは、開発元がすでに修正を公開していることです。6.3.313より後の最新版へ更新するだけで防げます。ファイルの受け取りを伴う機能を持つプラグインは、便利さと引き換えに狙われやすいという前提で、こまめな更新と、アップロード先の点検を習慣にしておきたいところです。新たな悪用の動きがあれば、あらためてお伝えします。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go