WordPress 用プラグイン「Welcart e-Commerce」に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は9月22日、コルネ株式会社が提供するWordPress用プラグイン「Welcart e-Commerce」に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。

　影響を受けるシステムは、「Welcart e-Commerce 2.7 から 2.8.21 まで」。脆弱性は次のものが確認されている。

・アップロードするファイルの検証が不十分（CVE-2023-40219）
CVSS v3 CVSS:3.0による基本値：2.7
・パストラバーサル（CVE-2023-40532）
CVSS v3 CVSS:3.0による基本値：4.3
・商品マスター画面の登録処理におけるクロスサイトスクリプティング（CVE-2023-41233）
CVSS v3 CVSS:3.0による基本値：6.1
・クレジット決済設定画面におけるクロスサイトスクリプティング（CVE-2023-41962）
CVSS v3 CVSS:3.0による基本値：6.1
・商品マスター画面におけるクロスサイトスクリプティング（CVE-2023-43484）
CVSS v3 CVSS:3.0による基本値：6.1
・商品マスター画面におけるSQLインジェクション（CVE-2023-43493）
CVSS v3 CVSS:3.0による基本値：6.5
・受注データ編集画面におけるSQLインジェクション（CVE-2023-43610）
CVSS v3 CVSS:3.0による基本値：5.4
・受注データ編集画面におけるクロスサイトスクリプティング（CVE-2023-43614）
CVSS v3 CVSS:3.0による基本値：6.1

　これらの脆弱性が悪用されると、次のような影響を受ける可能性がある。

・当該製品に編集者権限以上でログイン可能なユーザによって、許可されていないディレクトリに任意のファイルをアップロードされる（CVE-2023-40219）
・当該製品に投稿者権限以上でログイン可能なユーザによって、ウェブサーバ内のファイルの一部情報を閲覧される（CVE-2023-40532）
・当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される（CVE-2023-41233、CVE-2023-43484、CVE-2023-43614）
・当該製品にログインしているユーザのウェブブラウザ上で、細工されたページにアクセスした場合、管理画面に任意のスクリプトを設置される（CVE-2023-41962）
・当該製品に投稿者権限以上でログイン可能なユーザによって、機微な情報を窃取される（CVE-2023-43493）
・当該製品に編集者権限（設定権限無し）以上でログイン可能なユーザによって、データベースを操作される（CVE-2023-43610）

　JVNでは、開発者が提供する情報をもとに、最新版にアップデートするよう呼びかけている。最新版の「Welcart e-Commerce 2.8.22」では、脆弱性が解消されている。

　なお、CVE-2023-40219は橋本瑛洋氏、CVE-2023-40532、CVE-2023-41233、CVE-2023-41962、CVE-2023-43484、CVE-2023-43493、CVE-2023-43610、CVE-2023-43614は株式会社ラックサイバーリンクの熊丸匠伍氏がIPAに報告している。