アイビー長崎WordPress保守管理チームです。WooCommerceプラグインに脆弱性が確認されましたので、以下の通りアップデートのご案内を差し上げます。
対象プラグイン名とバージョン
WordPress WooCommerce plugin
・バージョン9.4.3未満で「未認証の注文作成」に関する脆弱性
・バージョン9.1.2以下で「クロスサイトスクリプティング(XSS)」脆弱性
これらの脆弱性はいずれもWooCommerceが外部から不正な操作やスクリプトを実行される可能性がある問題ですが、すでにバージョン9.4.3で修正されています。
アップデートのお願い
最新の安全なバージョン9.4.3へのアップデートをお願いいたします。脆弱性のあるままのバージョンを使用し続けると、サイトの正常な運用に支障をきたす恐れがございます。アップデートの方法がご不明な場合やご質問などがありましたら、当チームまでお気軽にご連絡ください。
引き続き、WordPressサイトの安全運用にご協力をお願いいたします。
今後とも何卒よろしくお願いいたします。
脆弱性について
未認証の注文作成
認証されていない第三者が、悪意を持って注文を作成できてしまう脆弱性です。これにより本来必要な操作条件をすり抜けて、意図しない在庫の処理や支払いトラブルを引き起こす可能性があります。
クロスサイトスクリプティング(XSS)
ユーザーのブラウザで不正なスクリプトが実行される恐れのある脆弱性です。攻撃者がサイトの画面上に悪意のあるコードを仕込むことで、管理者や利用者のセッション情報が盗まれるなどの被害が想定されます。