【2025年11月版】Contact Form 7 Database Addon（CFDB7）のバージョンと脆弱性情報

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

この記事は、Contact Form 7 Database Addon（CFDB7）のバージョンと脆弱性への対応状況についてまとめたもので、2025年11月10日に改訂しています。

Contact Form 7 Database Addonは、Contact Form 7の送信データを WordPressのデータベースに保存するための拡張機能（アドオン）であり、CiphercoinというチームないしプロジェクトにジョインしているArshidさんによって、開発・サポートされています。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは60万以上、総ダウンロード数749万回以上を計測しており、人気のあるアドオンの一つと言ってよいでしょう。
Web制作会社である当社も、WordPressを選択する際にはかなりの頻度で使用させていただいております。

一方で、人気のあるアドオンであるがゆえに、時としてその脆弱性が話題として取り上げられたりします。

そこで、この記事では、企業のWeb担当の皆様に向けて、Contact Form 7 Database Addonの概要並びに、脆弱性及びその対応状況をご紹介することで、Contact Form 7 Database Addonについては安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

前述の通り、Contact Form 7 Database Addonは、Contact Form 7の送信データを WordPressのデータベースに保存するための拡張機能（アドオン）であり、CiphercoinというチームないしプロジェクトにジョインしているArshidさんによって、開発・サポートされているオープンソースのアドオンです。

このプラグインを使用すると、Contact Form 7の送信データを WordPressのデータベースに保存するだけでなく、下記のようにCSVでのエクスポートやスプレッドシートとの連携などができます。

前述のように、人気のあるプラグイン（ダウンロード数が多いプラグイン）は、攻撃のターゲットとして狙われやすいという側面があります。

当社では、WordPress自体は非常に堅牢なCMSであり、バージョンアップをしっかりと行えば大きな侵入のリスクは少ないと考えています。
実際に、WordPress本体（コア）の脆弱性の数はプラグインやテーマに比べて少なく、特に最近では緊急レベルの脆弱性報告は減少しています。
※詳細は、当社が公表しているWordPressの脆弱性情報一覧を参照してください。

一方で、膨大な数のプラグインやアドオンが存在し、それらの脆弱性を狙った攻撃が増加しています。
※Patchstackの「State of WordPress Security 2025」によれば、2024年に報告されたWordPress関連の脆弱性のうち、96%がプラグイン、4%がテーマに起因し、WordPressコア由来はごくわずかにとどまっています。
WordPressはコア（本体）のバージョンアップをすることが大事という点は変わりませんが、コア（本体）だけバージョンアップしてればよいわけではない点に注意が必要です。

そのため、定期的にアップデートされ、脆弱性が迅速に修正されることは、セキュリティ対策の観点から非常に重要です。

実際に、Contact Form 7 Database Addonにもいくつかの脆弱性が発見されており、これらは迅速に修正されています。

2025年11月10日現在、Contact Form 7 Database Addonの最新バージョンは1.3.4であり、WordPress6.8.3までテストされています。

通常のオープンソースソフトウェアでは、公式のサポート（新機能の追加、不具合の改修、セキュリティパッチの提供）は最新バージョンのみを対象としており、Contact Form 7 Database Addonでも同様の対応が行われていると考えられます。

バージョン1.3.2以下には既知の脆弱性があるため、最新のパッチバージョンへのアップデートをしてください。

2025年11月10日現在での、Contact Form 7 Database Addonのバージョン情報は次の通りです。

※上記の内容は、WordPress公式サイトの開発ログの情報を正として、バージョン1.3.2までを掲載しています。
※バージョン1.3.2以下には既知の脆弱性が存在するため、グレーにしています。

Contact Form 7 Database Addonバージョン1.3.4では、当社が把握している全ての脆弱性に対応しています。

また、Contact Form 7 Database Addon 1.3.2以下のバージョンをご使用の場合には、最新バージョンへアップデートしてください。

なお、Contact Form 7 Database Addon自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。CVEによる採番がなされていない脆弱性情報については、Wordfence及びAcunetixのリンクを掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急（9.0～10.0）、重要（7.0～8.9）、警告（4.0～6.9）に区分されるもののみを掲載しています。
※CVE-2025-4665については、Mandiant Inc.のスコアを掲出しています。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）に準拠しています。なお、CVE番号が採番されていない脆弱性情報については、Wordfenceのスコアに準拠しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVD 、Wordfence、Acunetixなどの情報を確認されたうえで、自己責任でご利用ください。

前述のように、Contact Form 7 Database Addonは、人気のあるアドオンであり、Web制作の現場でWordPressを利用する場合には、かなりの確率でお世話になるアドオンです。

しかしながら、Contact Form 7 Database Addon自体のバージョンアップをしようと思っても、Contact Form 7やWordPress、PHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。