WordPressのプラグイン「Welcart」に脆弱性が報告されています。

脆弱性タイプ

①PHP オブジェクトインジェクション

CVSS v3＝5.6

CVSS v2＝6.8

②クロスサイトスクリプティング（XSS）　2件

CVSS v3＝6.1

CVSS v2＝4.3

③セッション管理不備

CVSS v3＝6.5

CVSS v2＝6.4

発見バージョン

Welcart V1.8.2およびそれ以前

想定される影響

任意の PHP コードを実行される可能性、任意のスクリプトを実行される可能性、当該ユーザとしてログインされ、任意の操作を実行される可能性などがあります。

対応方法

修正版であるバージョン1.8.3以降のバージョンへアップデートする
（2016年6月24日現在、いくつかの不具合修正を行い、バージョン1.8.5が最新となっております）

（※Welcart 1.8.5 をリリースしました）

「Welcart」は、WordPressにてショッピングサイトを構築することができるプラグインです。

コルネ株式会社が提供しており、日本初のWordPress専用ショッピングカートとのことです。

当プラグインバージョンをご利用の方は、早めの最新版への更新をお勧めします。

アップデートが出来ないような環境の場合は、手動で修正するしかありませんので、ベンダー情報をよくご確認頂き修正下さい。

また、ベンダーによるとご利用のバージョンが1.4未満からのアップグレードを行う場合は、一度Welcartを停止してから行うようご注意ください、とのことです。

【参考】

Welcart 1.8.3 リリース【脆弱性の修正】