YITH WooCommerce Wishlistプラグインは、現在の50万人以上の WordPress サイトにインストールされて使用されており、 WooCommerce ショッピングモールで顧客が商品のウィッシュリスト(「蒸し」リスト)を作ることができる人気プラグインの一つです(「WordPress用YITH WooCommerce ウィッシュリストプラグイン"参照)。
セキュリティ企業SucuriでYITH WooCommerce Wishlistに影響を与えるSQLインジェクションの脆弱性(SQL Injection vulnerability)を発見した。
2.2.0以前のバージョンでは、この脆弱性のために、機密データが流出することができ、特定の構成では、全体の WordPress サイトのセキュリティを低下させることができます。
特にMySQL 5.7以前のバージョンを使用しているサーバーでは、この脆弱性は、簡単に悪用されるとね。
Sucuriがこのセキュリティ勧告を発表した理由は、ユーザーがウィッシュリスト(蒸しリスト)を保存して後で利用できるように、このプラグインを使用するサイトで無料の「ユーザー会員登録」が通常有効になっているためです。
以前のバージョンを使用している場合、このプラグインをできるだけ早く2.2.0以降にアップデートしてください(現在のバージョン2.2.0)。
もし更新ができない状況である場合には、 Sucuri Firewallや似たような技術を利用する方がいいとね。
コメントを残す