ECサイト構築用WordPressプラグイン「Welcart」に複数の脆弱性（JVN）

IPAおよびJPCERT/CCは、コルネが提供するショッピングサイトを構築するためのWordPressプラグイン「ACCESS REPORT」にXSSおよびCSRFの脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

22 views

2012.12.14 Fri 15:43

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は12月14日、コルネ株式会社が提供するショッピングサイトを構築するためのWordPressプラグイン「ACCESS REPORT」にクロスサイトスクリプティング（XSS）およびクロスサイトリクエストフォージェリ（CSRF）の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。

「Welcart 1.2.1 およびそれ以前」には、XSSの脆弱性（CVE-2012-5177）およびCSRFの脆弱性（CVE-2012-5178）が存在する。これらの脆弱性が悪用されると、当該製品の管理者ページ上で任意のスクリプトが実行されたり、当該製品にログインしたユーザが、カートに商品を登録した状態で悪意のあるページを読み込んだ場合、商品の購入手続きが完了させられる可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》