ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

コルネ WordPress向けプラグイン Welcart e-Commerceに脆弱性 CVE-2021-20734

コルネが提供するWordPress向けプラグイン Welcart e-Commerceに脆弱性 CVE-2021-20734が発見されたそうです。

 

情報元はこちら。

【セキュリティ ニュース】WordPress向けカートプラグインにXSSの脆弱性(1ページ目 / 全1ページ):Security NEXT

 

コルネが提供しているWordPress向けプラグイン「Welcart e-Commerce」に脆弱性が明らかとなったとのこと。

 

同ソフトウェアは、「WordPress」にショッピングカート機能を追加することができるプラグイン脆弱性情報のポータルサイトであるJVNによれば、格納型のクロスサイトスクリプティングXSS)の脆弱性「CVE-2021-20734」が明らかとなった。

管理者権限でログインしている状態で細工したページにアクセスすると、任意のスクリプトを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.0」のベーススコアは「6.1」。

脆弱性は、セキュアスカイ・テクノロジーの岩間湧氏が情報処理推進機構IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。5月31日に脆弱性を修正した「Welcart e-Commerce 2.2.4」がリリースされている。

 

 

公式サイトの情報です。

Welcart 2.2.4 をリリースしました | ECサイト for WordPress Welcart.com

 

Welcart 2.2.4 をリリースしました。脆弱性の修正を行っています。全てのユーザーはこのバージョン(2.2.4)にアップグレードする必要があります。詳細は下記の通りです。


アップグレードの際は、Welcartを一旦停止してからアップグレードを行ってください。

【変更点】

クロスサイトスクリプティング脆弱性が見つかりました。
管理画面にて、JavaScriptが実行される危険性があります。対象は過去の全てのバージョン(2.2.4よりも低いバージョン)となりますので、アップグレード対応をお願いいたします。
なお、WelHostをご利用のサイトは、弊社の方でアップグレードを行いますので、そのまましばらくお待ちください。

 

対象の方は速やかにアップデートがおすすめです。