simpleplus_vertical_home_top
ソニーペイメントサービスの2つの決済モジュール

Welcart 2.10 セキュリティアップデート

Welcart 2.10.0 をリリースしました。主に管理画面の受注リストおよび会員リストでのセキュリティ強化のためのアップデートとなります。カスタマイズ等に影響を与える可能性がありますので、手動更新とさせていただきました。以下の詳細をご覧ください。

今回の更新では、Welcart拡張プラグイン(WCEX)も更新が必要となります。Welcartをアップデートすると、更新が必要な拡張プラグイン名が管理画面上部に表示されます。表示された拡張プラグインは全て更新を行うようお願いいたします。更新を行わない場合は、管理画面の操作が一部出来なくなりますのでご注意ください。

また、受注リストおよび会員リストをカスタマイズされているサイトでは、今回の更新が影響を及ぼす可能性がございます。 影響が出るカスタマイズの例として、下記のフックを使用している場合が挙げられます。 ご自身で下記のフックを使用してカスタマイズされているサイトは、追加されたコードを参考に修正してください。


・usces_filter_orderlist_detail_value(フィルターフック)
このフックは、受注リストの1行全体を書き換えるフィルターフックです。

このリンクは、受注編集画面へのリンクですが、URLに ’&wc_nonce=’ . wp_create_nonce( ‘order_edit’ ) が追加されています。

case 'ID':
case 'deco_id':
$detail = '<a href="' . USCES_ADMIN_URL . '?page=usces_orderlist&order_action=edit&order_id=' . $data['ID'] . '&wc_nonce=' . wp_create_nonce( 'order_edit' ) . '">' . esc_html( $value ) . '</a></td>';


・usces_admin_order_list(フィルターフック)
このフックは、受注リストのテンプレート自体を変更するフィルターフックです。 こちらも修正箇所は上記と同じく、受注編集画面へのリンクとなります。


・usces_filter_memberlist_detail_value(フィルターフック)
このフックは、会員リストの1行全体を書き換えるフィルターフックです。

このリンクは、会員編集画面へのリンクですが、URLに ’&wc_nonce=’ . wp_create_nonce( ‘member_list’ ) が追加されています。

case 'ID':
$detail = '<td><a href="' . USCES_ADMIN_URL . '?page=usces_memberlist&member_action=edit&member_id=' . $value . '&wc_nonce=' . wp_create_nonce( 'member_list' ) . '">' . $value . '</a></td>';


・usces_admin_member_list(フィルターフック)
このフックは、会員リストのテンプレート自体を変更するフィルターフックです。 こちらも修正箇所は上記と同じく、会員編集画面へのリンクとなります。



その他、商品マスターでの一括更新、商品CSVのアップロードなどで権限チェックを厳しくしています。

このバージョン(Welcart 2.10)は自動更新ではありません。手動での更新となりますので、プラグインページから「更新」をクリックしてアップデートしてください。

【変更点】

  • 受注リストおよび会員リストからそれぞれの編集画面にアクセスする場合、nonce認証を行うようセキュリティ強化を行いました。
  • Welcartには「編集者(設定権限無し)」と「編集者(マネジメント権限無し)」といった独自の権限がありますが、それぞれ動作に不具合がありましたので、正確に動作するよう修正しました。