Japanized For WooCommerceに脆弱性
Japanized For WooCommerceに脆弱性の指摘
Japanized For WooCommerce2.5.6に脆弱性が指摘されています!
Japanized For WooCommerceとは?
Japanized For WooCommerceはWordpress用のオンラインショップのあれやこれを実現するWooCommerceプラグインをさらに日本語の環境に強化するプラグインで、
- 氏名のよみがなを追加
- 敬称(様)を名前の後ろに追加
- 郵便番号自動入力機能(Yahoo! アプリケーション ID が必要)
- 送料無料時の非表示機能
- 配送日時設定(祝日設定込)
- 支払い方法の追加(銀行振込、郵便振替、店頭支払い、代引の定期購入)
- Japanized for WooCommerce 公式後払い決済 Paidy の追加
- Addition of PayPal Checkout (compatible with Japan)
- LINE Pay 決済の追加
- 特定商取引法の作成及びショートコード設定
などの機能を追加することができる大変便利なものです。
有効インストール数は10000+とされています。
ところがWordpressのセキュリティ強化プラグインWordfenceから最新のJapanized For WooCommerce 2.5.6の脆弱性がここ半月ほど継続して指摘されています。
Japanized For WooCommerceの脆弱性の内容
指摘されているのはCross-Site Scriptingが可能であるということで、動的にページを生成する仕組みを利用して、ユーザーの環境で任意のスクリプトを実行することができてしまうセキュリティホールです。
この手法を使うと、サイトの内容の改ざん、セッションの乗っ取り、悪意のあるサイトへのリダイレクトが可能であるとされています。
脆弱度は6.1(中)となっているものの、Wordfence CentralではCritical(致命的)という表示になっています。
速やかにパッチがリリースしてくれることを祈るばかりです。
-
Japanized For WooCommerceに脆弱性の関連リンク
