公開日:2016/10/20 最終更新日:2016/10/20
JVN#14567604
WordPress 用プラグイン WP-OliveCart における複数の脆弱性
WordPress 用プラグイン WP-OliveCart には、複数の脆弱性が存在します。
- WP-OliveCart 3.1.3 より前のバージョン
- WP-OliveCartPro 3.1.8 より前のバージョン
オリーブデザインが提供する WP-OliveCart は、ショッピングサイトを構築するための WordPress 用プラグインです。WP-OliveCart には、次の複数の脆弱性が存在します。
クロスサイトスクリプティング (CWE-79) - CVE-2016-4903
| CVSS v3 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | 基本値: 6.1 |
| CVSS v2 | AV:N/AC:M/Au:N/C:N/I:P/A:N | 基本値: 4.3 |
クロスサイトリクエストフォージェリ (CWE-352) - CVE-2016-4904
| CVSS v3 | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | 基本値: 4.3 |
| CVSS v2 | AV:N/AC:H/Au:N/C:N/I:P/A:N | 基本値: 2.6 |
SQL インジェクション (CWE-89) - CVE-2016-4905
| CVSS v3 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L | 基本値: 4.7 |
| CVSS v2 | AV:N/AC:L/Au:S/C:P/I:P/A:P | 基本値: 6.5 |
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- ユーザのウェブブラウザ上で任意のスクリプトを実行される - CVE-2016-4903
- ユーザの意図しない操作を実行される - CVE-2016-4904
- データベース内の情報を取得されたり改ざんされたりする - CVE-2016-4905
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社トレードワークス セキュリティ事業部 佐藤 元 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2016-4903 |
|
CVE-2016-4904 |
|
|
CVE-2016-4905 |
|
| JVN iPedia |
JVNDB-2016-000208 |
|
JVNDB-2016-000209 |
|
|
JVNDB-2016-000210 |
