【2025年6月版】ContactForm7のバージョンと脆弱性情報

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

この記事は、ContactForm7のバージョンと脆弱性への対応状況についてまとめたもので、2025年6月5日に改訂しています。

Contact Form 7は、日本の合同会社ロックロブスターが開発・サポートを継続している、WordPress向けオープンソースのフォーム作成プラグインです。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは1000万以上、総ダウンロード数3億8120万回弱を計測しており、世界で最も使われているフォームプラグインの一つと言ってよいでしょう。
Web制作会社である当社も、WordPressを選択する際にはかなりの頻度で使用させていただいております。

一方で、世界で最も使われているフォームプラグインの一つであるがゆえに、時としてその脆弱性が話題として取り上げられたりするだけでなく、Contact Form 7用のアドオンが数多くリリースされており、中には「クライアントにはお勧めできないな」と思えるアドオンまで散見されるようになってきました。

そこで、この記事では、企業のWeb担当の皆様に向けて、Contact Form 7の概要並びに、脆弱性及びその対応状況をご紹介することで、Contact Form 7そのものについては安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

前述の通り、Contact Form 7は、日本の合同会社ロックロブスターが開発・サポートを継続している、WordPress向けオープンソースのフォーム作成プラグインであり、総ダウンロード数3億8120万回弱を計測している世界で最も使われているプラグインの一つです。

Web制作会社である当社の視点からContact Form 7の概要を、世界中で利用されている理由という切り口で述べると次の２つとなります。

Contact Form 7自体は無料のプラグインです。
そして、必要にして十分な機能が備わっており、簡単にフォームを作成することができます。
Contact Form 7の使い方や、お困りごとに対する解決策については、下記Contact Form 7の公式サイトをご確認ください。

もしかしたら、ユーザーの皆さんは「ContactForm7 使い方」「ContactForm7 不具合」などのキーワードでこのページをご覧になられており、「結局公式サイトで調べるのか」と思われているかもしれません。

確かに、「ContactForm7 使い方」「ContactForm7 不具合」といったキーワードの検索数が多いこと、ニーズがあることはわかっておりますが、以下の2つの理由により、公式サイトにて調べて頂くことをお勧めしています。

一つ目の理由は、公式サイトの情報が最も正確であるということです。
Contact Form 7は、適宜バージョンアップがなされており、使い方や機能についても更新され続けています。
情報が最も正確である公式サイトにてContact Form 7について調べていただくことが最適であると考えています。
なお、Contact Form 7の使い方はもちろんのこと、「Contact Form 7の不具合かも」と思うようなケースについても、ほぼ上記FAQページで解決すると思います。
それでも解決しない不具合については、サードパーティ製のテーマやプラグインに起因することがあります。
公式サイトのトラブルシューティングを参考にしてください。

二つ目の理由は、Contact Form 7を支える方々への敬意をもちたいという想いです。
無償で開発を継続されている状況は、開発チームのオープンソースへの深い共感から継続されているもので、決してあたりまえのことではありません。その不断の努力には頭が下がる思いです。
ユーザーの皆さんに、できるだけ公式サイトで調べていただき、広告収入や「寄付」と呼ばれているプラグイン購入をしていただくことで、合同会社ロックロブスターの活動が少しでも継続できるように願っています（そのため、本記事はPV数を稼ぐことを目的としておらず、「ContactForm7 使い方」「ContactForm7 不具合」というキーワードには最適化しておりません）。

前述のように、開発とアップデートが継続されているということは並大抵のことではありません。

特に、フォームはサイバー攻撃の入り口として非常に狙われやすい機能であり、クロスサイトスクリプティングやSQLインジェクションはもちろんのこと、スパムやボット攻撃対策までしないといけないという点において、対応難易度も非常に高いことに留意が必要です。

それにも関わらず、定期的にアップデートがなされている点は、Contact Form 7が世界中で利用されている理由の一つであると考えます。
少なくとも当社は、合同会社ロックロブスターが脆弱性情報に対して真摯に取り組まれているから、クライアントにお勧めすることができています。

同じく公式サイトに明言はありませんが、公式がサポート（新機能の追加、不具合の改修、セキュリティパッチの提供）をしているのは最新パッチバージョンのみであり、6.0.5以下には既知の脆弱性がありますので、最新バージョンへのアップデートをお勧めします。

2025年6月5日現在での、Contact Form 7のバージョン情報は次の通りです。

※上記の内容は、Contact Form 7公式サイトの情報を正として掲載しています。
※2025年6月5日現在、WordPress及びContact Form 7を使用するためにはPHP7.4以上が必要です。そのため上記表も基本的にはPHP7.4以上が必要となるバージョン5.8からを記載していますが、例外としてContact Form 7、WordPress、PHPの非常に古いバージョンを利用しているユーザーへの注意喚起として、下記脆弱性が修正されたバージョンについては5.8未満でも記載してあります。
※バージョン5.8以上でも、バージョン番号が飛ばされているケースがありますが、これは内部テストで特定のバージョン番号を使用した等の理由で、外部には公開されていないバージョンであると認識しています。

Contact Form 7は最新バージョンにおいて、当社が把握している全ての脆弱性に対応しています。

また、Contact Form 7 6.0.5以下のバージョンをご使用の場合には、最新バージョンへアップデートしてください。

なお、Contact Form 7自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急（9.0～10.0）、重要（7.0～8.9）、警告（4.0～6.9）に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）に準拠しています。ただし、CVE-2024-2242についてはNVDでは未分類であるため、Wordfenceのスコアを掲載しています。
※CVE-2023-6630については、2023年に採番されていますが、2015年3月14日にリリースされたContact Form 4.1.1にて「セキュリティの改良」として前もって対策されていました。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報は、あくまでもContact Form 7自体に関する脆弱性情報です。Contact Form 7用のアドオンには大量の脆弱性情報がありますので、ご使用のアドオンについてはNVDなどでの確認をお勧めいたします。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

前述のように、Contact Form 7は世界で認められているプラグインであり、Web制作の現場でWordPressを利用する場合には、かなりの確率でお世話になるプラグインです。

しかしながら、Contact Form 7自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、Contact Form 7用のアドオンの問題があったりして、バージョンアップが困難であることもあると思います。
あるいは、他のプラグインの影響によってContact Form 7が正常に動作しないなどの問題に直面されているかもしれません。