100万ダウンロード以上、WordPressをECサイト化する超有名プラグイン、WooCommerceに、脆弱性

言わずと知れた、超有名プラグインである、WooCommerceに、脆弱性が2件報告されています。

119555 2015-03-13 WooCommerce Plugin for WordPress Tooltips Unspecified XSS

WooCommerce Plugin for WordPress contains a flaw that allows a cross-site scripting (XSS) attack. This flaw exists because the program does not validate input to tooltips before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.

119554 2015-03-13 WooCommerce Plugin for WordPress Tax Settings Page tax_rate_country Parameter SQL Injection

WooCommerce Plugin for WordPress contains a flaw that may allow carrying out an SQL injection attack. The issue is due to the Tax Settings page not properly sanitizing user-supplied input to the ‘tax_rate_country’ parameter. This may allow an authenticated remote attacker to inject or manipulate SQL queries in the back-end database, allowing for the manipulation or disclosure of arbitrary data.

発見された脆弱性はいずれも一般的なもので、クロスサイトスクリプティング、およびSQLインジェクションとなります。

 

このプラグインは世界中に愛好者がおり、かなりのECサイトで使われています。また、ECサイトという特性上、顧客データを管理していることもあり、脆弱性を放置することは情報漏洩などの致命的な結果を招きかねません。

影響が大きい脆弱性とおもわれますが、脆弱性は最新版ではすでに修正が施されており、現在の最新版である2.3.6以上のバージョンであれば、問題はありません。

ただし、WordPressテーマなどにバンドルされているプラグインは、自動でアップデートがかからない可能性もありますので、ご自身の環境を一度チェックされることをお勧めいたします。

 

 

また、日本語対応番のWooCommerceもありますが、こちらの対応がどうなっているかは不明です。ご注意ください。

LINEで送る
Pocket

こんな記事も読まれています