ECサイト構築用WordPressプラグイン「Welcart」に複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、コルネが提供するショッピングサイトを構築するためのWordPressプラグイン「ACCESS REPORT」にXSSおよびCSRFの脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
「Welcart 1.2.1 およびそれ以前」には、XSSの脆弱性(CVE-2012-5177)およびCSRFの脆弱性(CVE-2012-5178)が存在する。これらの脆弱性が悪用されると、当該製品の管理者ページ上で任意のスクリプトが実行されたり、当該製品にログインしたユーザが、カートに商品を登録した状態で悪意のあるページを読み込んだ場合、商品の購入手続きが完了させられる可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》