- SERVICE
セキュアな Web サイト制作サービス
- WORKS
- ABOUT US
- NEWS & COLUMN
- IR
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
この記事は、Contact Form 7のバージョンと脆弱性への対応状況についてまとめたもので、2025年12月10日に改訂しています。
Contact Form 7は、日本の合同会社ロックロブスターが開発・サポートを継続している、WordPress向けオープンソースのフォーム作成プラグインです。
WordPressのPlugin Directoryの統計情報によると、アクティブインストールは1000万以上、総ダウンロード数約4億257万回を計測しており、世界で最も使われているフォームプラグインの一つと言ってよいでしょう。
Web制作会社である当社も、WordPressを選択する際にはかなりの頻度で使用させていただいております。
一方で、世界で最も使われているフォームプラグインの一つであるがゆえに、時としてその脆弱性が話題として取り上げられたりするだけでなく、Contact Form 7用のアドオンが数多くリリースされており、中には「クライアントにはお勧めできないな」と思えるアドオンまで散見されるようになってきました。
そこで、この記事では、企業のWeb担当の皆様に向けて、Contact Form 7の概要並びに、脆弱性及びその対応状況をご紹介することで、Contact Form 7そのものについては安心して使用していただけるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
Contact Form 7とは
前述の通り、Contact Form 7は、日本の合同会社ロックロブスターが開発・サポートを継続している、WordPress向けオープンソースのフォーム作成プラグインであり、総ダウンロード約4億257万回を計測している世界で最も使われているプラグインの一つです。
Web制作会社である当社の視点からContact Form 7の概要を、世界中で利用されている理由という切り口で述べると次の2つとなります。
無料かつ簡単にフォームを作成できるプラグインです
Contact Form 7自体は無料のプラグインです。
そして、必要にして十分な機能が備わっており、簡単にフォームを作成することができます。
Contact Form 7の使い方や、お困りごとに対する解決策については、下記Contact Form 7の公式サイトをご確認ください。
| Contact Form 7の使い方について | |
| Contact Form 7に関するお困りごとについて |
もしかしたら、ユーザーの皆さんは「Contact Form 7 使い方」「Contact Form 7 不具合」などのキーワードでこのページをご覧になられており、「結局公式サイトで調べるのか」と思われているかもしれません。
確かに、「Contact Form 7 使い方」「Contact Form 7 不具合」といったキーワードの検索数が多いこと、ニーズがあることはわかっておりますが、以下の2つの理由により、公式サイトにて調べて頂くことをお勧めしています。
一つ目の理由は、公式サイトの情報が最も正確であるということです。
Contact Form 7は、適宜バージョンアップがなされており、使い方や機能についても更新され続けています。
情報が最も正確である公式サイトにてContact Form 7について調べていただくことが最適であると考えています。
なお、Contact Form 7の使い方はもちろんのこと、「Contact Form 7の不具合かも」と思うようなケースについても、ほぼ上記FAQページで解決すると思います。
それでも解決しない不具合については、サードパーティ製のテーマやプラグインに起因することがあります。
公式サイトのトラブルシューティングを参考にしてください。
二つ目の理由は、Contact Form 7を支える方々への敬意をもちたいという想いです。
無償で開発を継続されている状況は、開発チームのオープンソースへの深い共感から継続されているもので、決してあたりまえのことではありません。その不断の努力には頭が下がる思いです。
ユーザーの皆さんに、できるだけ公式サイトで調べていただき、広告収入や「寄付」と呼ばれているプラグイン購入をしていただくことで、合同会社ロックロブスターの活動が少しでも継続できるように願っています(そのため、本記事はPV数を稼ぐことを目的としておらず、「Contact Form 7 使い方」「Contact Form 7 不具合」というキーワードには最適化しておりません)。
開発とアップデートが継続されています
前述のように、開発とアップデートが継続されているということは並大抵のことではありません。
特に、フォームはサイバー攻撃の入り口として非常に狙われやすい機能であり、クロスサイトスクリプティングやSQLインジェクションはもちろんのこと、スパムやボット攻撃対策までしないといけないという点において、対応難易度も非常に高いことに留意が必要です。
それにも関わらず、定期的にアップデートがなされている点は、Contact Form 7が世界中で利用されている理由の一つであると考えます。
少なくとも当社は、合同会社ロックロブスターが脆弱性情報に対して真摯に取り組まれているから、クライアントにお勧めすることができています。
Contact Form 7のバージョン情報に関するポイント
公式サイトに直接的な記載はありませんでしたが、Contact Form 7では、一般的なセマンティックバージョニングに近いバージョニングが採用されているようです。
3つの数字の左から「メジャーバージョン.マイナーバージョン.パッチバージョン」となります(パッチバージョンが0の場合は省略表記されています)。
2025年12月10日現在、Contact Form 7の最新バージョンは6.1.4であり、WordPress6.9までテストされています。
同じく公式サイトに明言はありませんが、公式がサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)をしているのは最新パッチバージョンのみであり、6.0.5以下には既知の脆弱性がありますので、最新バージョンへのアップデートをお勧めします。
Contact Form 7のバージョン情報
2025年12月10日現在での、Contact Form 7のバージョン情報は次の通りです。
| バージョン | リリース日 | サポート期限 | 修正された脆弱性 |
| 6.1.4 | 2025年11月30日 | サポート中 | - |
| 6.1.3 | 2025年10月29日 | 2025年11月30日 | - |
| 6.1.2 | 2025年9月30日 | 2025年10月29日 | - |
| 6.1.1 | 2025年8月5日 | 2025年9月30日 | - |
| 6.1 | 2025年6月26日 | 2025年8月5日 | - |
| 6.0.6 | 2025年4月10日 | 2025年6月26日 | CVE-2025-3247 |
| 6.0.5 | 2025年3月11日 | 2025年4月10日 | - |
| 5.9.5 | 2024年5月21日 | 2024年6月17日 | |
| 5.9.2 | 2024年3月12日 | 2024年3月21日 | |
| 5.8.4 | 2023年11月30日 | 2023年12月19日 | |
| 5.3.2 | 2020年12月17日 | 2021年2月6日 | |
| 5.0.4 | 2018年9月4日 | 2018年10月30日 | |
| 4.1.1 | 2015年3月14日 | 2015年4月23日 | |
| 3.7.2 | 2014年2月26日 | 2014年4月16日 |
※上記の内容は、Contact Form 7公式サイトの情報を正として掲載しています。
※上記の内容は、バージョン6.0.6までを掲載しています。また、それ以前のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン6.0.5以下には既知の脆弱性が存在するため、グレーにしています。
Contact Form 7の脆弱性情報
Contact Form 7は最新バージョンにおいて、当社が把握している全ての脆弱性に対応しています。
また、Contact Form 7 6.0.5以下のバージョンをご使用の場合には、最新バージョンへアップデートしてください。
なお、Contact Form 7自体に関する脆弱性情報で、当社が把握しているものは次の通りです。
| 脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
| CVSS v3 5.3 (警告) |
・Contact Form 7_6.0.5までのバージョン | ・Contact Form 7_6.0.6 | |
| CVSS v3 6.1 (警告) |
・Contact Form 7_5.9.4までのバージョン | ・Contact Form 7_5.9.5 | |
| CVSS v3 6.1 (警告) |
・Contact Form 7_5.9までのバージョン | ・Contact Form 7_5.9.2 | |
| CVSS v3 4.3 (警告) |
・Contact Form 7_4.1.0までのバージョン | ・Contact Form 7_4.1.1 | |
| CVSS v3 7.2 (重要) |
・Contact Form 7_5.8.3までのバージョン | ・Contact Form 7_5.8.4 | |
| CVSS v3 10.0 (緊急) |
・Contact Form 7_5.3.1までのバージョン | ・Contact Form 7_5.3.2 | |
| CVSS v3 9.8 (緊急) |
・Contact Form 7_5.0.3までのバージョン | ・Contact Form 7_5.0.4 | |
| CVSS v2 5.0 (警告) |
・Contact Form 7_3.7.1までのバージョン | ・Contact Form 7_3.7.2 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and
Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS
v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS
v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability
Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability
Database(以下「NVD」)に準拠しています。ただし、CVE-2024-2242についてはNVDでは未分類であるため、Wordfenceのスコアを掲載しています。
※CVE-2023-6630については、2023年に採番されていますが、2015年3月14日にリリースされたContact
Form
4.1.1にて「セキュリティの改良」として前もって対策されていました。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報は、あくまでもContact
Form 7自体に関する脆弱性情報です。Contact Form
7用のアドオンの一部には大量の脆弱性情報がありますので、ご使用のアドオンについてはNVDなどでの確認をお勧めいたします。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
Contact Form 7のバージョンアップを継続する体制について
前述のように、Contact Form 7は世界で認められているプラグインであり、Web制作の現場でWordPressを利用する場合には、かなりの確率でお世話になるプラグインです。
しかしながら、Contact Form 7自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、Contact Form 7用のアドオンの問題があったりして、バージョンアップが困難であることもあると思います。
あるいは、他のプラグインの影響によってContact Form 7が正常に動作しないなどの問題に直面されているかもしれません。
taneCREATIVE株式会社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、Contact Form 7とWordPressはもちろんのこと、PHPについてもノウハウを有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
- この記事を書いた存在
- ちほうタイガー
taneCREATIVEに所属する謎のトラ。
- WordPressについては、2008年ごろから追いかけているWebコンサルタント。
Contact Form 7の開発チームに深い敬意を持っている。
2025年12月10日改訂
2025年6月5日改訂
2024年10月4日執筆
