【2024年10月版】ContactForm7のバージョンと脆弱性情報

皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年10月4日に執筆しています。

今回はContactForm7のバージョンと脆弱性への対応状況についてまとめてみたいと思います。

Contact Form 7は、日本の合同会社ロックロブスターが開発・サポートを継続している、WordPress向けオープンソースのフォーム作成プラグインです。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは1000万以上、総ダウンロード数3億5千万回弱を計測しており、世界で最も使われているフォームプラグインの一つと言ってよいでしょう。
Web制作会社である当社も、WordPressを選択する際にはかなりの頻度で使用させていただいております。

一方で、世界で最も使われているフォームプラグインの一つであるがゆえに、時としてその脆弱性が話題として取り上げられたりするだけでなく、Contact Form 7用のアドオンが数多くリリースされており、中には「クライアントにはお勧めできないな」と思えるアドオンまで散見されるようになってきました。

そこで、この記事では、企業のWeb担当の皆様に向けて、Contact Form 7の概要並びに、脆弱性及びその対応状況をご紹介することで、Contact Form 7そのものについては安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

Contact Form 7とは

前述の通り、Contact Form 7は、日本の合同会社ロックロブスターが開発・サポートを継続している、WordPress向けオープンソースのフォーム作成プラグインであり、総ダウンロード数3億5千万回弱を計測している世界で最も使われているプラグインの一つです。

Web制作会社である当社の視点からContact Form 7の概要を、世界中で利用されている理由という切り口で述べると次の2つとなります。

無料かつ簡単にフォームを作成できるプラグインです

Contact Form 7自体は無料のプラグインです。
そして、必要にして十分な機能が備わっており、簡単にフォームを作成することができます。
Contact Form 7の使い方や、お困りごとに対する解決策については、下記Contact Form 7の公式サイトをご確認ください。

Contact Form 7の使い方について

Contact Form 7公式サイトの「使い方」のページ

Contact Form 7に関するお困りごとについて

Contact Form 7公式サイトの「FAQ」のページ

もしかしたら、ユーザーの皆さんは「ContactForm7 使い方」「ContactForm7 不具合」などのキーワードでこのページをご覧になられており、「結局公式サイトで調べるのか」と思われているかもしれません。

確かに、「ContactForm7 使い方」「ContactForm7 不具合」といったキーワードの検索数が多いこと、ニーズがあることはわかっておりますが、以下の2つの理由により、公式サイトにて調べて頂くことをお勧めしています。

一つ目の理由は、公式サイトの情報が最も正確であるということです。
Contact Form 7は、適宜バージョンアップがなされており、使い方や機能についても更新され続けています。
情報が最も正確である公式サイトにてContact Form 7について調べていただくことが最適であると考えています。
なお、Contact Form 7の使い方はもちろんのこと、「Contact Form 7の不具合かも」と思うようなケースについても、ほぼ上記FAQページで解決すると思います。
それでも解決しない不具合については、サードパーティ製のテーマやプラグインに起因することがあります。
公式サイトのトラブルシューティングを参考にしてください。

二つ目の理由は、Contact Form 7を支える方々への敬意をもちたいという想いです。
無償で開発を継続されている状況は、開発チームのオープンソースへの深い共感から継続されているもので、決してあたりまえのことではありません。その不断の努力には頭が下がる思いです。
ユーザーの皆さんに、できるだけ公式サイトで調べていただき、広告収入や「寄付」と呼ばれているプラグイン購入をしていただくことで、合同会社ロックロブスターの活動が少しでも継続できるように願っています(そのため、本記事はPV数を稼ぐことを目的としておらず、「ContactForm7 使い方」「ContactForm7 不具合」というキーワードには最適化しておりません)。

開発とアップデートが継続されています

前述のように、開発とアップデートが継続されているということは並大抵のことではありません。

特に、フォームはサイバー攻撃の入り口として非常に狙われやすい機能であり、クロスサイトスクリプティングやSQLインジェクションはもちろんのこと、スパムやボット攻撃対策までしないといけないという点において、対応難易度も非常に高いことに留意が必要です。

それにも関わらず、定期的にアップデートがなされている点は、Contact Form 7が世界中で利用されている理由の一つであると考えます。
少なくとも当社は、合同会社ロックロブスターが脆弱性情報に対して真摯に取り組まれているから、クライアントにお勧めすることができています。

Contact Form 7のバージョン情報に関するポイント

公式サイトに直接的な記載はありませんでしたが、Contact Form 7では、一般的なセマンティックバージョニングが採用されているようです。
3つの数字の左から「メジャーバージョン.マイナーバージョン.パッチバージョン」となります。

2024年10月4日現在、Contact Form 7の最新バージョンは5.9.8であり、WordPress6.6.2までテストされています。

同じく公式サイトに明言はありませんが、公式がサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)をしているのは最新パッチバージョンのみであり、5.9.4以下には既知の脆弱性がありますので、5.9.8へのアップデートをお勧めします。

Contact Form 7のバージョンと対応するWordPressバージョン

Contact Form 7はWordPressのプラグインです。
そこで、Contact Form 7の各バージョンについてのリリース日と対応するWordPressバージョンを掲載しておきます。

Contact Form 7のバージョン リリース日 サポート期限 対応するWordPressのバージョン 修正された脆弱性
5.9.8 2024年7月25日 サポート中 WordPress 6.3から6.6
5.9.7 2024年7月17日 2024年7月25日 WordPress 6.3から6.6
5.9.6 2024年6月17日 2024年7月17日 WordPress 6.3から6.5.4
5.9.5 2024年5月21日 2024年6月17日 WordPress 6.3から6.5.3

CVE-2024-4704

5.9.4 2024年5月7日 2024年5月21日 WordPress 6.3から6.5.2
5.9.3 2024年3月21日 2024年5月7日 WordPress 6.3から6.5 RC3
5.9.2 2024年3月12日 2024年3月21日 WordPress 6.3から6.5 RC1

CVE-2024-2242

5.9 2024年3月2日 2024年3月12日 WordPress 6.3から6.4.3
5.8.7 2024年2月5日 2024年3月2日 WordPress 6.2から6.4.3
5.8.6 2024年1月11日 2024年2月5日 WordPress 6.2から6.4.2
5.8.5 2023年12月19日 2024年1月11日 WordPress 6.2から6.4.2
5.8.4 2023年11月30日 2023年12月19日 WordPress 6.2から6.4.1

CVE-2023-6449

5.8.3 2023年11月16日 2023年11月30日 WordPress 6.2から6.4.1
5.8.2 2023年10月25日 2023年11月16日 WordPress 6.2から6.4 RC2
5.8.1 2023年9月28日 2023年10月25日 WordPress 6.2から6.3.1
5.8 2023年8月6日 2023年9月28日 WordPress 6.2から6.3 RC3
5.3.2 2020年12月17日 2021年2月6日 WordPress 5.4から5.6

CVE-2020-35489

5.0.4 2018年9月4日 2018年10月30日 WordPress 4.8から4.9.8

CVE-2018-20979

4.1.1 2015年3月14日 2015年4月23日 WordPress 4.0から4.1.1

CVE-2023-6630

3.7.2 2014年2月26日 2014年4月16日 WordPress 3.6から3.8.1

CVE-2014-2265

※上記の内容は、Contact Form 7公式サイトの情報を正として掲載しています。
※2024年10月4日現在、WordPress及びContact Form 7を使用するためにはPHP7.4以上が必要です。そのため上記表も基本的にはPHP7.4以上が必要となるバージョン5.8からを記載していますが、例外としてContact Form 7、WordPress、PHPの非常に古いバージョンを利用しているユーザーへの注意喚起として、下記脆弱性が修正されたバージョンについては5.8未満でも記載してあります。
※バージョン5.8以上でも、バージョン番号が飛ばされているケースがありますが、これは内部テストで特定のバージョン番号を使用した等の理由で、外部には公開されていないバージョンであると認識しています。

Contact Form 7の脆弱性情報

Contact Form 7は5.9.5において、当社が把握している全ての脆弱性に対応しています。

また、Contact Form 7 5.3.1以下のバージョンをご使用の場合には、至急最新バージョンへアップデートしてください

なお、Contact Form 7自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン

CVE-2024-4704
JVNDB-2024-003835

CVSS v3
6.1 (警告)
Contact Form 7 5.9.4までのバージョン Contact Form 7 5.9.5

CVE-2024-2242
CVE-2024-2242 Detail

CVSS v3
6.1 (警告)
Contact Form 7 5.9までのバージョン Contact Form 7 5.9.2

CVE-2023-6630
JVNDB-2023-025184

CVSS v3
4.3 (警告)
Contact Form 7 4.1.0までのバージョン Contact Form 7 4.1.1

CVE-2023-6449
JVNDB-2023-018477

CVSS v3
7.2 (重要)
Contact Form 7 5.8.3までのバージョン Contact Form 7 5.8.4

CVE-2020-35489
JVNDB-2020-014846

CVSS v3
10.0 (緊急)
Contact Form 7 5.3.1までのバージョン Contact Form 7 5.3.2

CVE-2018-20979
JVNDB-2019-008261

CVSS v3
9.8 (緊急)
Contact Form 7 5.0.3までのバージョン Contact Form 7 5.0.4

CVE-2014-2265
JVNDB-2014-001648

CVSS v2
5.0 (警告)
Contact Form 7 3.7.1までのバージョン Contact Form 7 3.7.2

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。ただし、CVE-2024-2242についてはNVDでは未分類であるため、Wordfenceのスコアを掲載しています。
※CVE-2023-6630については、2023年に採番されていますが、2015年3月14日にリリースされたContact Form 4.1.1にて「セキュリティの改良」として前もって対策されていました。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報は、あくまでもContact Form 7自体に関する脆弱性情報です。Contact Form 7用のアドオンには大量の脆弱性情報がありますので、ご使用のアドオンについてはNVDなどでの確認をお勧めいたします。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

Contact Form 7のバージョンアップを継続する体制について

前述のように、Contact Form 7は世界で認められているプラグインであり、Web制作の現場でWordPressを利用する場合には、かなりの確率でお世話になるプラグインです。

しかしながら、Contact Form 7自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、Contact Form 7用のアドオンの問題があったりして、バージョンアップが困難であることもあると思います。
あるいは、他のプラグインの影響によってContact Form 7が正常に動作しないなどの問題に直面されているかもしれません。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、Contact Form 7とWordPressはもちろんのこと、PHPについてもノウハウを有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

Contact Form 7でのフォーム作成やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。