Security Flaws Found in Popular WooCommerce Plugin
2024/06/07 InfoSecurity — WordPress のプラグイン WooCommerce Amazon Affiliates (WZone) に、3つの脆弱性が存在することが、Patchstack により明らかにされた。Amazon アフィリエイト・プログラム経由で、Web サイト運営者やブロガーの収益化を支援するように、WooCommerce Amazon Affiliates は設計されている。AA-Team により開発された、この WordPress プラグインは、35,000 以上の販売実績を有している。先日に発見された脆弱性は、バージョン 14.0.10 を含む、すべてのテスト済みバージョンに影響を与えるものであり、バージョン 14.0.20 以降にも影響を与える可能性があるという。
1つ目の脆弱性 CVE-2024-33549 は、認証された任意のオプションのアップデートにおける脆弱性である。この脆弱性の悪用に成功した認証済みの攻撃者は、任意の WP オプションを更新し、権限を昇格させることが可能となる。この脆弱性には、現時点でパッチが適用されていないため、WordPress サイトの高レベル・アクセスを獲得した攻撃者により、重大なセキュリティ・リスクをもたらされる可能性がある。
残りの2つ CVE-2024-33544/CVE-2024-33546 は、どちらも SQL インジェクションの脆弱性である。これらの脆弱性の悪用に成功した攻撃者は、WordPress のデータベースに悪意の SQL クエリを注入することが可能になり、データ侵害や不正操作を引き起こす可能性を持つ。
これらの脆弱性に対するパッチが未適用であるため、WZone プラグインを無効化して削除するよう、Patchstack はユーザーに求めている。
Patchstack は、開発元に問い合わせたが、回答を得られなかった。そのため同社は、脆弱性を公表してユーザーに対する保護策を提供することにしたという。
Patchstack はブログで、「アクションやプロセスの実装において、最も重要なことは、パーミッション/ロールと nonce の検証を適用することだ。パーミッション/ロールのチェックは “current_user_can” 関数で検証が可能であり、また、nonce の値 は “wp_verify_nonce” や “check_ajax_referer” で検証できる。SQL クエリ処理では、クエリを実行する前に、ユーザー入力に対して安全なエスケープとフォーマットを行い、データベース上のテーブルを更新するための任意のアクセス権を、決してユーザーに与えないことが重要だ」と詳述している。
WordPress の WooCommerce Plugin に3つの脆弱性が発見されましたが、現時点ではパッチが未適用とのことです。数多くの Eコマースサイトに影響が生じる可能性があります。現時点で頼りになるのは、Patchstack のドキュメントのみです。ご利用のチームは、注目してみてください。よろしければ、WooCommerce で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.