【2025年8月版】WP Mail SMTP by WPFormsのバージョンと脆弱性情報

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

この記事はWP Mail SMTP by WPFormsのバージョンと脆弱性への対応状況についてまとめたもので、2025年8月21日に改訂しています。

WP Mail SMTP by WPFormsは、WordPressサイトからのメール送信の信頼性を向上させるためのプラグインであり、WPForms社によって開発・サポートされています。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは400万以上、総ダウンロード数6857万回以上を計測しており、人気のあるプラグインの一つと言ってよいでしょう。

一方で、人気のあるプラグインであるため、攻撃対象になりやすい側面もあります。

そこで、この記事では、企業のWeb担当の皆様に向けて、WP Mail SMTP by WPFormsの概要並びに、脆弱性及びその対応状況をご紹介することで、WP Mail SMTP by WPFormsを安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

・WP Mail SMTP by WPFormsとは
・WP Mail SMTP by WPFormsのバージョン情報に関するポイント
・WP Mail SMTP by WPFormsのバージョン情報
・WP Mail SMTP by WPFormsの脆弱性情報
・WP Mail SMTP by WPFormsのバージョンアップを継続する体制について

WP Mail SMTP by WPFormsとは

前述の通り、WP Mail SMTP by WPFormsは、WPForms社によって開発・サポートが継続されている、オープンソースのWordPress向けプラグインであり、WordPressサイトからのメール送信の信頼性を向上させることができるプラグインです。

従来のPHPメール関数では、送信エラーや迷惑メール扱いのリスクがありますが、本プラグインはSMTP認証を利用することで、安定したメール配信を実現することができますし、主要なメールサービス（Gmail、SendGrid、Mailgunなど）との連携にも対応し、サイト運営者が確実に通知や連絡メールを送信できる環境を提供してくれることから、多くの人に利用されています。

一方で、利用者の多いプラグインは、攻撃のターゲットにされる可能性があるため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントにお勧めしていません。

WP Mail SMTP by WPFormsは定期的にアップデートされ、脆弱性が迅速に修正されているため、問題ないと考えておりますが、2024年7月20日に、CVE番号が採番されていますので、バージョン4.0.1以下をご利用になられている場合には、最新バージョンへのアップデートを推奨いたします。

WP Mail SMTP by WPFormsのバージョン情報に関するポイント

WP Mail SMTP by WPFormsでは、一般的なセマンティックバージョニングに近いバージョニングが採用されているようです。
3つの数字の左から「メジャーバージョン.マイナーバージョン.パッチバージョン」となります。

2025年8月21日現在、WP Mail SMTP by WPFormsの最新バージョンは4.5.0であり、WordPress 6.8.2までテストされています。

通常のオープンソースソフトウェアでは、公式のサポート（新機能の追加、不具合の改修、セキュリティパッチの提供）対象は最新パッチバージョンのみであることから、最新パッチバージョンへのアップデートを推奨いたします。

バージョン4.0.1以下には既知の脆弱性がありますので、最新のパッチバージョンへのアップデートを実施してください。

WP Mail SMTP by WPFormsのバージョン情報

2025年8月21日現在での、WP Mail SMTP by WPFormsのバージョン情報は次の通りです。

バージョン	リリース日	サポート期限	修正された脆弱性
4.5.0	2025年6月5日	サポート中	－
4.4.0	2025年3月5日	2025年6月5日	－
4.3.0	2024年12月11日	2025年3月5日	－
4.2.0	2024年11月6日	2024年12月11日	－
4.1.1	2024年8月15日	2024年11月6日	－
4.1.0	2024年7月17日	2024年8月15日	CVE-2024-6694
4.0.1	2024年2月29日	2024年7月17日	－
1.4.0	2018年11月29日	2018年12月3日	Wordfence

※上記の内容は、WordPress公式サイト開発ログの情報を正として、バージョン4.0.1までを掲載しています。また、4.0.1未満のバージョンについては、下記脆弱性が修正されたバージョンを追記しています。
※バージョン4.0.1以下には既知の脆弱性が存在するため、グレーにしています。

WP Mail SMTP by WPFormsの脆弱性情報

WP Mail SMTP by WPFormsの最新バージョンは4.5.0であり、当社が把握している全ての脆弱性に修正対応済みとなっています。

また、WP Mail SMTP by WPForms 4.0.1以下のバージョンをご使用の場合には、既知の脆弱性が存在している可能性がありますので、最新バージョンへとアップデートをしてください。

なお、WP Mail SMTP by WPForms自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報	深刻度	影響を受けるバージョン	修正されたバージョン
CVE-2024-6694 CVE-2024-6694 Detail	CVSS v3 2.7 (注意)	WP Mail SMTP by WPForms 4.0.1までのバージョン	WP Mail SMTP by WPForms 4.1.0
Wordfence	CVSS v3 6.4 (警告)	WP Mail SMTP by WPForms 1.3.3までのバージョン	WP Mail SMTP by WPForms 1.4.0

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急（9.0～10.0）、重要（7.0～8.9）、警告（4.0～6.9）に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）や独立行政法人情報処理推進機構（以下「IPA」）に準拠していますが、NVD、IPAにてスコアリングされていない場合には、Wordfenceのスコアに準拠しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVD、Wordfenceなどの情報を確認されたうえで、自己責任でご利用ください。

WP Mail SMTP by WPFormsのバージョンアップを継続する体制について

前述のように、WP Mail SMTP by WPFormsは人気のあるプラグインであり、日本国内でも利用者は多数いるものと推察されます。

しかしながら、WP Mail SMTP by WPForms自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、WP Mail SMTP by WPFormsとWordPressはもちろんのこと、PHP、MySQL、MariaDBについてもノウハウを有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

WP Mail SMTP by WPFormsを使用したWebサイト制作やアップデートを含む保守・管理に関しては、こちらのお問合せよりお気軽にご相談ください。