アーカイブ

‘セキュリティ脆弱性情報’ カテゴリーのアーカイブ
2016 年 6 月 1 日

Welcart 1.8.3 をリリースしました。いくつかの脆弱性が発見されましたので修正いたしました。バージョン1.8.2を含む全てのバージョンが対象です。アップグレードして攻撃に備えて下さい。その他の変更点は以下の通りです。

v1.4 未満からのアップグレードの場合は、Welcartを停止してからアップグレードを行ってください。


【変更点】

  • いくつかの脆弱性を修正
    PHP Object Injection、XSSの脆弱性が見つかりましたので修正しました。
  •  

  • PayPalの仕様変更によりLogin with PayPalが機能しなかった不具合を修正
  • 新しい受注明細リストで「商品オプション」が出力されない不具合を修正
  • 新しい受注リストで、対応状況や入金状況での検索がうまく行かない不具合を修正
  • 新しい受注リストのCSV出力機能のチェックリストにて、一部の項目にチェックが入らない不具合を修正
  • 受注データ登録時、セッションが空だったときのエラーログ追加



【テーマの変更】
Welcart Default テーマに変更はありません。



2015 年 10 月 10 日

Welcart 1.5.3 をリリースしました。管理画面にて、SQLインジェクションの脆弱性を修正しました。

v1.4 未満からのアップグレードの場合は、Welcartを停止してからアップグレードを行ってください。


【変更点】

  • 管理画面の会員リスト画面にてSQLインジェクションの脆弱性を修正
  • PayPalエクスプレスチェックアウトの、カートページのショートカットが機能しない不具合を修正



【テーマの変更】
Welcart Default テーマに変更はございません。



【脆弱性について】
管理者権限でログインした管理画面にて脆弱性が発見されました。
攻撃を行うにはログインが必要となりますので、緊急性は低いと考えます。
今回の脆弱性でアップグレードが必要なバージョンは、V1.5.2以前の全てのバージョンとなります。
アップグレードができない環境では手動で修正するしかありません。以下の差分をご覧ください。
https://goo.gl/791lcn



2015 年 7 月 15 日

Welcart 1.4.18 をリリースしました。管理画面にて、SQLインジェクションとクロスサイト・スクリプティングの脆弱性を修正しました。

v1.4 未満からのアップグレードの場合は、Welcartを停止してからアップグレードを行ってください。


【変更点】

  • 管理画面の商品リスト画面にてクロスサイト・スクリプティングの脆弱性を修正
  • 管理画面の受注リスト画面にてSQLインジェクションの脆弱性を修正
  • 商品マスターから商品名・商品コードを変更すると、フロント会員ページの購入履歴の商品名、商品コードまで変更されてしまう不具合を修正
  • CloudPayment 決済で送料が0円になる不具合を修正



【テーマの変更】
Welcart Default テーマに変更はございません。



【脆弱性について】
管理者権限でログインした管理画面にて脆弱性が発見されました。
攻撃を行うにはログインが必要となりますので、緊急性は低いと考えます。
今回の脆弱性でアップグレードが必要なバージョンは、V1.4.17以前の全てのバージョンとなります。
アップグレードができない環境では手動で修正するしかありません。以下の差分をご覧ください。
https://goo.gl/5iLFBV



2012 年 12 月 12 日

Welcartのバージョン1.2.1以前に下記の脆弱性が存在することが判明しました。この脆弱性を悪用された場合、悪意ある第三者の攻撃により、閲覧者が意図しないサイトに誘導されたり、個人情報が漏えいする危険性が有ります。

  • 脆弱性1 クロスサイトリクエストフォージェリの脆弱性
  • 脆弱性2 クロスサイトスクリプティングの脆弱性
  • 脆弱性3 ログが閲覧できてしまう脆弱性

この問題の影響を受けるWelcartのバージョンを以下に示しますので、最新のバージョン(1.2.2)にアップグレードを行うか、パッチを適用してください。
続きを読む…