WordPress脆弱性情報：Welcart e-Commerceプラグイン

WordPressプラグインの脆弱性情報です。

Welcart e-Commerceプラグインに、脆弱性存在の報告

Welcart e-Commerceプラグインにおいて、脆弱性の存在が確認されました。

有効インストール数2万件を超えるプラグインです。ネットショップを運営するための、ショッピングカートのプラグインです。日本の運営元による開発の為、日本人にはとても使いやすく、国内でのシェアが高いプラグインです。

脆弱性の内容はXSSです。2023年1月23日に開発元より2.8.11のリリースが発表され、管理画面でXSS攻撃可能なコードの埋め込みができる脆弱性の報告があったと発表されています。この時点でCVSS 3.1スコア等は確認されていません。

(追記：2023年1月27日のPatchstackによるCVSS 3.1スコアは、7.1の高リスクとなっています）

影響を受けるバージョン

影響を受けるバージョンは、2.8.10以前のバージョンです。

完全パッチバージョン

脆弱性の存在箇所について、修正がなされたバージョンは2.8.11です。

Welcart 2.8 以降のバージョンは自動で最新バージョンに更新されます。2.7 以下のバージョンを利用している場合はアップデートが必要です。

CVE ID

CVE-2023-22705

メモ

下記の公式サイトを確認の上、最新版へアップデートをすることをお勧めします。

今回脆弱性が報告されたプラグインのダウンロードページはこちらです。

参考サイト：　Weclart 公式サイト