WooCommerce 複数の通貨プラグインWooCommerce Multi Currencyで最近ショッパーが商品価格を任意に変更することができる致命的なセキュリティの脆弱性が発見されて更新されました。 このプラグインを使用している場合、店の商品の価格が、悪意のあるユーザーによって変更されたことがないかチェックして、必ず最新のバージョンに更新してください。
WooCommerce 複数の通貨のプラグインWooCommerce Multi Currencyセキュリティ更新プログラム
WordPress WooCommerce Multi Currencyプラグイン
WooCommerceマルチ通貨は、顧客が通話を変換できるようにする、複数の通貨での支払いを受けることができようにする WooCommerce用のプラグインです。 為替レート(exchange rate)は、自動または手動での設定が可能です。 このプラグインは、お客様の地理的位置を自動的に検出し、価格をお客様の現在の通貨で表示されます。
このプラグインの為替レートの自動更新機能を使用して自動的にレートを更新する場合、30分、1時間、6時間、1日、2日、3日、1週間または1ヶ月に更新間隔を設定することができます。
同様のプラグインとしてYITHで販売しているYITH Multi Currency Switcherがあります。
WooCommerce 複数の通貨のプラグインWooCommerce Multi Currencyセキュリティの脆弱性のパッチ
Envato市場で販売されている WooCommerce用マルチ通貨プラグインWooCommerce Multi Currencyでは、顧客が店の商品の価格を変更することができるセキュリティ問題が発見されて更新されました。
Ninja Technologies Networkによると、このプラグインの2.1.17以下に存在するアクセス制御の脆弱性は、Multi Currencyの「Import Fixed Price」機能に影響を及ぼします。自動的に計算される価格を変更できます。
NinTechNet分析によると、「インポート関数 import_csv()は woocommerce-multi-currency / includes / import-export / import-csv.php スクリプト内の wmc_bulk_fixed_price AJAXフックによってロードされますが、この関数は権限チェックとセキュリティのnonceが不足しています。 WooCommerce 顧客を含むすべての認証されたユーザーにアクセスできます。
この問題を悪用するには、サイバー攻撃者が商品の現在の通貨と商品IDを使用する特別な形式で作成されたCSVファイルをサイトにアップロードする必要があります。 指定された形式でCSVファイルをアップロードすると、1つの商品または複数の商品の価格を変更することができます。
この脆弱性は、特に、デジタル商品を販売するオンラインショップに損害を与えることができます。 顧客が支払い後に商品をダウンロードすることができる時間があるからです。 バックエンドでの商品の価格が変更されていないことを各注文を確認してください。
このプラグインを使用している場合、パッチが含まれている最新バージョンの2.1.18に更新する必要があります。
最後に、
WordPressを安全に運営するには、 WordPress コア、テーマ、プラグインを常に最新のバージョンにアップデートすることが重要です。
WordPressは、セキュリティの脆弱性が発見されるとすぐに、一般に公開されず、テーマやプラグイン開発者にバグを発表し、この脆弱性が修正されたパッチを出すことになります。 更新されたバージョンをリリースした後、一定期間が経過すると脆弱性の詳細情報が公開されます。
したがって、アップデートが出た時、すぐにアップデートすると、その脆弱性による被害を防ぐことができます。 アップデートをタイムリーにしていない場合は、これを悪用したマルウェア(マルウェア)に感染することができます。
付け加える言葉
ちなみにこのWooCommerce Multi Currencyプラグインのセキュリティの脆弱性に関連して、国内のセキュリティニュースに WooCommerceセキュリティの脆弱性が発見されショッパーが商品価格を任意に変更することができるという記事が上がってきました。 しかし、 WooCommerceセキュリティの脆弱性があるのではなく WooCommerce用アドオンプラグインに関連する問題であり、このプラグインは有料プラグインとして世界的に販売された数がそれほど多くない方です。 また、前述のように、悪意のあるユーザーがこの脆弱性を悪用するには、特定の条件が満たされる必要があります。
WordPressには、あまりにも多くのテーマとプラグインがあります。 WordPress 自体は、セキュリティに強いが更新さを無視したり、セキュリティ上の問題があるテーマやプラグインを使用する場合は、セキュリティに穴が生じることがあります。
そして、長時間更新ができず放置されたプラグインは使用しないことが安全です。 たとえば、国内開発者が作成したBBS e-Popupプラグインは、アップデートができてから3年を超えていますが、まだ多くのユーザーが使用しています。 このプラグインを使用している場合は、削除して別のポップアッププラグインと交換することをお勧めします(」WordPress BBS e-Popupプラグインユーザーの注意事項(+ポップアップエラー)"参照)。
コメントを残す