ニュース
IPAとJPCERT/CC、WordPress用プラグイン「Welcart e-Commerce」の脆弱性を公表
2016年6月24日 16:50
独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は24日、コルネ株式会社が提供するWordPress用プラグイン「Welcart e-Commerce」の4つの脆弱性を公表した。影響を受けるバージョンは「1.8.3」以前で、最新版へのアップデートが推奨されている。
Welcart e-Commerceは、WordPressを利用してECサイトを構築する際に、商品管理や顧客管理、受注管理などの機能を提供するプラグイン。
今回公表された4つの脆弱性は、PHPオブジェクトインジェクション、クロスサイトスクリプティング2件、セッション管理不備となっている。
PHPオブジェクトインジェクションの脆弱性「CVE-2016-4825」は、信頼できない POST の値をアンシリアライズする問題に起因するもので、リモートから第三者に任意のPHPコードを実行される可能性があるもの。共通脆弱性評価システムCVSS v3による脆弱性評価は5.6ポイント。
クロスサイトスクリプティングの脆弱性は「CVE-2016-4825」と「CVE-2016-4827」の2件あり、いずれもユーザーのウェブブラウザー上で任意のスクリプトを実行される可能性があるもの。共通脆弱性評価システムCVSS v3による脆弱性評価は5.6ポイントと6.1ポイント。
セッション管理不備の脆弱性「CVE-2016-4828」は、ユーザーがログイン用に利用するメールアドレスを知る第三者が、リモートからログインして、任意の操作を実行される可能性があるもの。共通脆弱性評価システムCVSS v3による脆弱性評価は6.5ポイント。
この4つの脆弱性は、6月1日にコルネ株式会社が公開しているWelcart e-Commerce 1.8.3で、すべて修正されている。