- 2017年12月27日
- WordPress脆弱性情報
300万ダウンロード、WordPressの代表的ECサイト構築プラグイン、WooCommerceに脆弱性。
日本脆弱性対策データベース(JVNDB)は、WordPressの代表的ECサイト構築プラグイン、WooCommerceに脆弱性が存在することを発表した。
参考URL http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-010916.html
脆弱性の区分としては「警告」にとどまるが、脆弱性の内容がパストラバーサルであることから、機密情報の漏洩に繋がる可能性がある。
“パストラバーサル
ディレクトリトラバーサルとは、ネットワーク上の脆弱性を利用した攻撃手法の一種で、「../」を利用してディレクトリを遡り、本来はアクセスが禁止されているディレクトリにアクセスする手法のことである。または、そのような脆弱性のことである。
ネットワーク上でディレクトリのパスを指定する際、「一つ上の階層へ上る」ことを指示する「../」のパスを組み合わせて指定することで、公開されているディレクトリの上階層から、その併置されている非公開のディレクトリへアクセスできてしまう場合がある。このような操作によって、個人情報や機密情報を盗まれたり、悪意あるコードを書き込まれたりといった被害を被る危険性が生じる。
(参考:https://www.weblio.jp/)”
WooCommerceは非常に優れたECサイト構築プラグインであり、「誰でも簡単に」ECサイトに必須の機能である、商品管理、カート、決済などを提供できる。
そう言った手軽さから、プロ・アマ問わず、様々なECサイトで使われているプラグインだ。
“WooCommerce は色んな物を販売できる、自由なデザインも可能なECプラグインです。WooCommerce はWordPressとシームレスに統合され、世界で多くのショップオーナーや開発者から支持されている人気のあるECシステムです。
柔軟性があり、数百の機能拡張WordPress プラグインがあり、世界の30%のオンラインショップがWooCommerce を採用されています。– 世界では他のプラットフォームより多く使われています。
(WooCommerce公式サイト)”
しかし、だからこそ「素人」が使っている可能性が高いプラグインでもあり、脆弱性の度合いによっては致命的な情報漏えいを引き起こす可能性がある。
最もダメージが大きいのは個人情報の漏洩、それも決済周りだろう。
世の中一般に、ECで買い物をすることに抵抗がなくなってきているが、逆にECサイトがどのようにできているのかを知ることは難しい。
上のようにプラグインで簡単に作れるECサイトは、利用の際の安全性を担保できない。
ということで、結局ECサイトはAmazonなどの大手でできるだけ買う、というのが鉄則ではなかろうか。