- 2018年5月16日
- WordPress脆弱性情報
ECサイト構築プラグイン「WooCommerce」をカスタマイズするプラグインに脆弱性。
なんのことやら、という感じですが、タイトルのとおりです。
WordPress上でのECサイト構築プラグインの事実上のスタンダード、WooCommerceプラグインを、更にカスタマイズするためのプラグインに脆弱性が発見されました。
こういうのって、「非コーダー」のためのものと思われがちですが、実際には「コーダー」が、開発期間を短縮するためであったり、余計なところに労力を使わないために、使っていることのほうが多いような気がします。
このプラグインは、ECサイトでほぼ必須機能である、
・カテゴリー
・属性
・商品タグ
・商品のカスタムタクソノミ
・価格
で商品をフィルタリングするためのものです。
WordPressは検索機能がいまいちですから、検索性能が命であるECサイトには、このようなフィルターが必要になるでしょう。
いつも何気なくつかっているGoogle検索ですが、WordPressを始めとした、ECサイトの検索機能の貧弱さを見ると、Googleがいかにスゴイかがよくわかります。
インターネットと、検索とは切っても切り離せないですからね。
それはそうと、このプラグインには脆弱性が発見されています。
“WordPress 用 WooCommerce Products Filter (別名 WOOF) プラグインには、入力確認に関する脆弱性が存在します。”
この「入力確認に関する脆弱性」は、フォームに入力された情報を適切にエスケープしなかったり、値の妥当性を確認しなかったりすることによって発生します。
フォームにプログラムコマンドを打ち込まれたりすると、さまざまな意図しないサーバの動作を引き起こしたりできますので、脆弱性としては致命的、逆に開発としてはお粗末、と言えるでしょう。
最新版にアップデートすれば脆弱性はカバーできますので、早急にアップデート願います。