独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月22日、コルネ株式会社が提供するWordPress用プラグイン「Welcart e-Commerce」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。
影響を受けるシステムは、「Welcart e-Commerce 2.7 から 2.8.21 まで」。脆弱性は次のものが確認されている。
・アップロードするファイルの検証が不十分(CVE-2023-40219)
CVSS v3 CVSS:3.0による基本値:2.7
・パストラバーサル(CVE-2023-40532)
CVSS v3 CVSS:3.0による基本値:4.3
・商品マスター画面の登録処理におけるクロスサイトスクリプティング(CVE-2023-41233)
CVSS v3 CVSS:3.0による基本値:6.1
・クレジット決済設定画面におけるクロスサイトスクリプティング(CVE-2023-41962)
CVSS v3 CVSS:3.0による基本値:6.1
・商品マスター画面におけるクロスサイトスクリプティング(CVE-2023-43484)
CVSS v3 CVSS:3.0による基本値:6.1
・商品マスター画面におけるSQLインジェクション(CVE-2023-43493)
CVSS v3 CVSS:3.0による基本値:6.5
・受注データ編集画面におけるSQLインジェクション(CVE-2023-43610)
CVSS v3 CVSS:3.0による基本値:5.4
・受注データ編集画面におけるクロスサイトスクリプティング(CVE-2023-43614)
CVSS v3 CVSS:3.0による基本値:6.1
これらの脆弱性が悪用されると、次のような影響を受ける可能性がある。
・当該製品に編集者権限以上でログイン可能なユーザによって、許可されていないディレクトリに任意のファイルをアップロードされる(CVE-2023-40219)
・当該製品に投稿者権限以上でログイン可能なユーザによって、ウェブサーバ内のファイルの一部情報を閲覧される(CVE-2023-40532)
・当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2023-41233、CVE-2023-43484、CVE-2023-43614)
・当該製品にログインしているユーザのウェブブラウザ上で、細工されたページにアクセスした場合、管理画面に任意のスクリプトを設置される(CVE-2023-41962)
・当該製品に投稿者権限以上でログイン可能なユーザによって、機微な情報を窃取される(CVE-2023-43493)
・当該製品に編集者権限(設定権限無し)以上でログイン可能なユーザによって、データベースを操作される(CVE-2023-43610)
JVNでは、開発者が提供する情報をもとに、最新版にアップデートするよう呼びかけている。最新版の「Welcart e-Commerce 2.8.22」では、脆弱性が解消されている。
なお、CVE-2023-40219は橋本瑛洋氏、CVE-2023-40532、CVE-2023-41233、CVE-2023-41962、CVE-2023-43484、CVE-2023-43493、CVE-2023-43610、CVE-2023-43614は株式会社ラックサイバーリンクの熊丸匠伍氏がIPAに報告している。
