WordPress 用プラグイン「Welcart e-Commerce」に複数の脆弱性

 

WordPress 用プラグイン「Welcart e-Commerce」に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月22日、コルネ株式会社が提供するWordPress用プラグインWelcart e-Commerceに複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表しました。

WordPress 用プラグイン Welcart e-Commerce には、複数の脆弱性が存在します。
影響を受けるシステムは、Welcart e-Commerce 2.7 から 2.8.21 まで。

アップロードするファイルの検証が不十分  (CWE-434) – CVE-2023-40219
パストラバーサル  (CWE-22) – CVE-2023-40532
商品マスター画面の登録処理におけるクロスサイトスクリプティング  (CWE-79) – CVE-2023-41233
クレジット決済設定画面におけるクロスサイトスクリプティング  (CWE-79) – CVE-2023-41962
商品マスター画面におけるクロスサイトスクリプティング  (CWE-79) – CVE-2023-43484
商品マスター画面におけるSQLインジェクション  (CWE-89) – CVE-2023-43493
受注データ編集画面におけるSQLインジェクション  (CWE-89) – CVE-2023-43610
受注データ編集画面におけるクロスサイトスクリプティング  (CWE-79) – CVE-2023-43614

https://jvn.jp/jp/JVN97197972/index.html

著者:nimura