YITH WooCommerce Wishlistプラグインは、現在の50万人以上の WordPress サイトにインストールされて使用されており、 WooCommerce ショッピングモールで顧客が商品のウィッシュリスト(「蒸し」リスト)を作成できる人気プラグインの一つです(」WordPress用YITH WooCommerce ウィッシュリストプラグイン"参照)。
セキュリティ会社であるSucuriは、YITH WooCommerce Wishlistに影響を与えるSQLインジェクションの脆弱性を発見しました。
2.2.0より前のバージョンでは、この脆弱性により機密データが漏洩する可能性があり、特定の構成では WordPress サイトのセキュリティを低下させることができます。
特に、MySQL 5.7より前のバージョンを使用しているサーバーでは、この脆弱性が悪用されやすいと言われています。
Sucuriがこのセキュリティ勧告を発表した理由は、ユーザーがウィッシュリスト(蒸しリスト)を保存して後で利用できるように、このプラグインを使用するサイトで無料の「ユーザー会員登録」が通常有効になっているためです。
以前のバージョンを使用している場合は、このプラグインをできるだけ早く2.2.0以上に更新してください(現在のバージョン2.2.0)。
もし更新ができない状況である場合には、 Sucuri Firewallや似たような技術を利用する方がいいとね。
コメントを残す