YITH WooCommerce Wishlistプラグインは、現在の50万人以上の WordPress サイトにインストールされて使用されており、 WooCommerce ショッピングモールでは、顧客が商品のウィッシュリスト(「蒸し」リスト)を作成することができる人気のプラグインの一つである( "WordPress用YITH WooCommerce ウィッシュリストプラグイン"参照)。
セキュリティ企業SucuriでYITH WooCommerce Wishlistに影響を与えるSQLインジェクションの脆弱性(SQL Injection vulnerability)を発見した。
2.2.0以前のバージョンでは、この脆弱性のために、機密データが流出することができ、特定の構成では、全体の WordPress サイトのセキュリティを低下させることができます。
特にMySQL 5.7以前のバージョンを使用しているサーバーでは、この脆弱性は、簡単に悪用されるとね。
Sucuriでこのセキュリティアドバイザリを発表した理由は、ユーザーがウィッシュリスト(蒸しリスト)を保存して、後で利用できるように、このプラグインを使用するサイトでは無料の「ユーザー登録」が通常有効になっているからだそうです。
以前のバージョンを使用している場合、このプラグインをできるだけ早く2.2.0以降にアップデートしてください(現在のバージョン2.2.0)。
もし更新ができない状況である場合には、 Sucuri Firewallや似たような技術を利用する方がいいとね。
コメントを残す