- 2014年12月9日
- WordPress脆弱性情報
16万ダウンロード、 Cart66 プラグインに脆弱性
WordPressでECサイトを構築できるプラグイン、Cart66プラグインに脆弱性が発見されています。
このソフトはWe are e-commerce and security experts so you don’t have to beと、セキュリティの高さを謳っているのですが、SQLインジェクションの脆弱性が発見されましした。どんなソフトウェアにもバグはあるということなのでしょう。
115286 | 2014-12-03 | Cart66 Plugin for WordPress /models/Cart66Ajax.php shortcodeProductsTable() Function id Parameter Blind SQL Injection | |||
Cart66 Plugin for WordPress contains a flaw that may allow carrying out an SQL injection attack. The issue is due to the shortcodeProductsTable() function in /models/Cart66Ajax.php not properly sanitizing user-supplied input passed via the ‘id’ parameter in the /wp-admin/admin-ajax.php script. This may allow a remote attacker to inject or manipulate SQL queries in the back-end database, allowing for the manipulation or disclosure of arbitrary data. |
有償版と無償版があり、有償版はクラウド型が月25ドルから、買い切りは149ドルとなっています。
なお、脆弱性は既に対策がなされており、アップデートを行うことで塞ぐことが出来ます。