2021年6月8日
WordPressをECサイト化できるとても優れたプラグインWelcartオフィシャルサイトでもアナウンスされていますが、Welcart 2.2.4 でクロスサイトスクリプティングが見つかっております。
脆弱性の状況
2.2.4よりも低いバージョン(2.2.3以下)を使い続ける場合、管理画面にてJavaScriptが実行される危険性があります。
お早めのアップグレード対応をお願いいたします。
※注意:WelHostをご利用のサイトは、自動的にアップデートされます。
Welcart 2.2以降の主な修正
会員関連のセキュリティを強化
会員のスパム登録に対処するため、会員の新規登録時に Google reCAPTCHA v3 の利用ができるようオプション機能を実装
会員登録、パスワード変更時のパスワードポリシーを厳密にチェックおよびメッセージするよう仕様を改善
会員ログインに対するブルートフォース攻撃に対処するため、連続ログイン失敗時のアクセス拒否機能を実装
不具合の修正と機能の改善 PayPal関連
定期購入の自動受注で決済エラーになった後、再決済ができなかった不具合を修正
継続課金会員情報画面の取引金額が通貨フォーマットされていなかった不具合を修正
PayPal を利用停止にすると、内容確認画面で JavaScript エラーが発生する不具合を修正
複数配送先プラグイン利用時、複数配送先を指定した注文を PayPal で決済するとき、決済ができない不具合を修正
など様々な対応が常にアップデートされておりますので、サイトで利用している場合は早めにアップデート対応を。
尚、弊社に保守依頼頂いているサイトについては既に対応済みとなります。