16万ダウンロード、 Cart66 プラグインに脆弱性

WordPressでECサイトを構築できるプラグイン、Cart66プラグインに脆弱性が発見されています。

このソフトはWe are e-commerce and security experts so you don’t have to beと、セキュリティの高さを謳っているのですが、SQLインジェクションの脆弱性が発見されましした。どんなソフトウェアにもバグはあるということなのでしょう。

115286 2014-12-03 Cart66 Plugin for WordPress /models/Cart66Ajax.php shortcodeProductsTable() Function id Parameter Blind SQL Injection

Cart66 Plugin for WordPress contains a flaw that may allow carrying out an SQL injection attack. The issue is due to the shortcodeProductsTable() function in /models/Cart66Ajax.php not properly sanitizing user-supplied input passed via the ‘id’ parameter in the /wp-admin/admin-ajax.php script. This may allow a remote attacker to inject or manipulate SQL queries in the back-end database, allowing for the manipulation or disclosure of arbitrary data.

 

 

 

有償版と無償版があり、有償版はクラウド型が月25ドルから、買い切りは149ドルとなっています。

なお、脆弱性は既に対策がなされており、アップデートを行うことで塞ぐことが出来ます。

 

 

 

LINEで送る
Pocket

こんな記事も読まれています