ショッピングサイト用のWordPress 用プラグイン「Welcart e-Commerce」の旧版に複数の脆弱性

WordPressのプラグイン「Welcart」に脆弱性が報告されています。

 

脆弱性タイプ

①PHP オブジェクトインジェクション

CVSS v3=5.6

CVSS v2=6.8

 

②クロスサイトスクリプティング(XSS) 2件

CVSS v3=6.1

CVSS v2=4.3

 

③セッション管理不備

CVSS v3=6.5

CVSS v2=6.4

 

発見バージョン

Welcart V1.8.2およびそれ以前

 

想定される影響

任意の PHP コードを実行される可能性、任意のスクリプトを実行される可能性、当該ユーザとしてログインされ、任意の操作を実行される可能性などがあります。

 

 

対応方法

修正版であるバージョン1.8.3以降のバージョンへアップデートする
(2016年6月24日現在、いくつかの不具合修正を行い、バージョン1.8.5が最新となっております)

(※Welcart 1.8.5 をリリースしました

 

 

「Welcart」は、WordPressにてショッピングサイトを構築することができるプラグインです。

コルネ株式会社が提供しており、日本初のWordPress専用ショッピングカートとのことです。

 

 

当プラグインバージョンをご利用の方は、早めの最新版への更新をお勧めします。

アップデートが出来ないような環境の場合は、手動で修正するしかありませんので、ベンダー情報をよくご確認頂き修正下さい。

また、ベンダーによるとご利用のバージョンが1.4未満からのアップグレードを行う場合は、一度Welcartを停止してから行うようご注意ください、とのことです。

 

【参考】

Welcart 1.8.3 リリース【脆弱性の修正】

LINEで送る
Pocket

こんな記事も読まれています