- 2015年7月28日
- WordPress脆弱性情報
日本初のWordPressショッピングカートプラグイン、WelcartにXSS、およびSQLインジェクションの脆弱性。
日本初、と銘打ったWordPressのショッピングカートプラグイン、Welcartに2つの脆弱性が報告されています。
まず1件目はXSSに関する脆弱性です。
Welcart には、クロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム
Welcart 1.4.17 およびそれ以前
詳細情報
コルネ株式会社が提供する Welcart は、ショッピングサイトを構築するための WordPress プラグインです。Welcart には、admin.php における usces_referer パラメータの処理に起因するクロスサイトスクリプティング (CWE-79) の脆弱性が存在します。
2件目はSQLインジェクションに関するもの。
Welcart には、SQL インジェクションの脆弱性が存在します。
影響を受けるシステム
Welcart 1.4.17 およびそれ以前
詳細情報
コルネ株式会社が提供する Welcart は、ショッピングサイトを構築するための WordPress プラグインです。Welcart には、admin.php における changeSort パラメータの処理に起因する SQL インジェクション (CWE-89) の脆弱性が存在します。
すでにベンダーからはパッチが提供されており、アップデートすることにより脆弱性の回避が可能です。
WordPressのショッピングカートプラグインというと、Woocommerceが有名ですが、日本初のプラグインにも頑張ってもらいたいものです。
海外製のプラグインはいざというときにサポートが不安ですし、ローカライズもそれなりに手間がかかります。その点、日本語のプラグインであれば安心できる、というメリットがあります。
どんなプラグインも、セキュリティの脆弱性と無縁でいることはできません。あらゆるプログラムにはバグが存在し、脆弱性のないプログラムはありません。
したがって、ベンダーは脆弱性を内包させないことも重要ですが、脆弱性が発見された後の対応はもっと重要です。
最近ではAdobeやAppleなどの大手も、脆弱性への対応を誤ったために批判されるという事件が起きています。
ベンダーの信頼性は、こんな細かいところからも積み上げていなければいけない、という好例ではないでしょうか。