独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月22日、コルネ株式会社が提供するWordPress用プラグインWelcart e-Commerceに複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表しました。
WordPress 用プラグイン Welcart e-Commerce には、複数の脆弱性が存在します。
影響を受けるシステムは、Welcart e-Commerce 2.7 から 2.8.21 まで。
アップロードするファイルの検証が不十分 (CWE-434) – CVE-2023-40219
パストラバーサル (CWE-22) – CVE-2023-40532
商品マスター画面の登録処理におけるクロスサイトスクリプティング (CWE-79) – CVE-2023-41233
クレジット決済設定画面におけるクロスサイトスクリプティング (CWE-79) – CVE-2023-41962
商品マスター画面におけるクロスサイトスクリプティング (CWE-79) – CVE-2023-43484
商品マスター画面におけるSQLインジェクション (CWE-89) – CVE-2023-43493
受注データ編集画面におけるSQLインジェクション (CWE-89) – CVE-2023-43610
受注データ編集画面におけるクロスサイトスクリプティング (CWE-79) – CVE-2023-43614