Contact Form 7 5.0.4 がリリースされました。これはセキュリティ改善とメンテナンスのためのリリースですので、今すぐアップデートしてください。

意図されない権限昇格を許す脆弱性が Contact Form 7 5.0.3 以前のバージョンに見つかりました。この脆弱性を利用することで、本来管理者と編集者にのみ許されるはずのコンタクトフォームの編集が、寄稿者の役割のログインユーザーにも可能になってしまいます。この問題は RIPS Technologies の Simon Scannell により報告されました。

このような脆弱性を突く攻撃による被害を最小限に抑えるため、Contact Form 7 5.0.4 および以降のバージョンではローカルファイル添付の機能の利用が制限されます。具体的には、wp-content ディレクトリの外に置かれたファイルを絶対ファイルパスで指定することができなくなります。wp-content ディレクトリにあるファイルを指定することは引き続き可能なので、添付ファイルの置き場所を変更しさえすれば問題ありません。

必要バージョン: WordPress 4.8 以上
テスト済み: WordPress 4.9.8 まで

» WordPress.org から Contact Form 7 プラグインをダウンロード

変更点

• register_post_type() の関数呼び出しに際して capability_type 変数の値を明示的に指定する。これにより権限昇格の脆弱性が解消される。
• ローカルファイル添付 – wp-content ディレクトリの外に置かれたファイルを絶対ファイルパスにより参照することを禁止する。
• 設定検証 – 無効なファイル添付設定を検出するテスト項目を追加。
• HTML5 の placeholder 属性をサポートしない旧式のブラウザーのための JavaScript フォールバック機能に見られたバグを修正。
• 承諾確認チェックボックス – フォームタグに指定されていた do-not-store 特性を解除。