ECサイト運営用のプラグインWelcartに重要度中の脆弱性が発見されました。
Welcartバージョン 2.10以下をご利用の方で自動更新を有効にしていないWebサイトは、最新バージョンの2.11.21へアップデートしてください。
2.10.1以上ご利用の場合は、何も設定していなくても、自動でアップデート※されます。
※自動アップデートができないサーバーご利用の方を除きます。
脆弱性の概要
2.11.20未満のWelcartには、XSS攻撃(クロスサイト・スクリプティング)攻撃に対する脆弱性が存在します。
この脆弱性は、特定の条件下で認証されたユーザー、特にEditor以上の権限を持つユーザーが、悪意のあるスクリプトを保存できるという脆弱性です。
この悪意のあるスクリプトを埋め込まれたページを訪問者(アクセスした人)がそのページを閲覧した際に実行される可能性があり、結果として、ユーザーのブラウザ上で不正な操作が行われたり、個人情報が盗まれたりするリスクがあります。
XSS攻撃とは?
Webサイトに「本来書かれていない悪意のあるスクリプト(プログラムの一部)」を仕込んで、訪問者が意図しない不正な操作をする事が出来ます。
たとえば、掲示板やフォームに入力した文字がそのまま画面に表示されるような仕組みの場合、そこに攻撃者が「JavaScript」というプログラムを仕込む事で、そのプログラムを仕込まれたページにアクセスすると、そのプログラムを実行されてしまうことがあります。
アップデート対応について
ご利用中のWelcart e-Commerce のバージョンを確認してください。バージョン確認は、こちらの方法でインストールされているプラグイン一覧が確認できますので、その中から「Welcart e-Commerce」を探しそこにバージョンが記載されています。
アップデートによる不具合の可能性
今回のアップデートでは、XSS攻撃に対するセキュリティ強化の他、小さな修正(【ゼウス】あと払い決済用の修正、フック追加、PHPエラー修正)がされていますが、その影響はほとんど無いと思われます。
Welcart e-Commerce 2.10.1以上ご利用のお客様
Welcartは、2.10セキュリティアップデート以降、自動更新となっております。
従って、ほとんどのお客様は何もしなくても自動で今回修正されたバージョンにアップデートされています。
Welcart e-Commerce 2.10以下ご利用のお客様
お客様ご自身でアップデートしてください。
特に、Welcart 2.10でWebサイトに影響がある可能性がある修正が行われています。テストサイトが用意されている場合は、先ずテストサイトを更新して、表示確認・動作確認してから本番サイトを更新してください。
テストサイトの用意が無い場合は、本番サイトを更新するしか方法はございませんが、更新前のデータベースバックアップを必ず行いましょう。
DBデータさえあれば、元に戻せる可能性が高いです。不安なお客様は、有償対応となりますがご相談ください。
Welcartに重要度中の脆弱性 2.10以下ご利用の方は最新版へアップデートの関連記事
この記事には、以下の関連記事がございます。合わせてご覧ください。