Welcart 2.9.5 をリリースしました。セキュリティ強化のための修正をしています。
Welcart 2.9 以降をご利用の場合は自動で最新バージョンに更新されます。2.8 以下をご利用の場合はアップデートしてください。今回のアップデートは 2.9.4 までのバージョンをご利用の場合に必ず必要です。
最新の Welcart を利用するには、PHP7.4、WordPress5.6 以上の環境が必要です。
【変更点】
- CSRFの対策
- サブスクライバーによる任意のファイルアップロードの対策
- 認証なしのPHPオブジェクトインジェクションの対策
- 反射型XSSの対策
- WordPress6.4 非推奨定数削除
CSRF(クロスサイトリクエストフォージェリ)の対策
管理者がログインした状態で、受注リスト・会員リスト・商品リストの「一括操作」から任意のファイルを削除する攻撃を不可としました。
サブスクライバーによる任意のファイルアップロードの対策
管理者がログインした状態で、「ペイジェント」決済モジュール設定に必要な証明書をアップロードする際にアップロードするファイルの認証を強化しました。
認証なしのPHPオブジェクトインジェクションの対策
ブログに存在する「悪意のあるガジェット」を使用して、クッキーからユーザー入力のアンシリアライズを行うことで、PHPオブジェクトインジェクションを発生する攻撃を不可としました。
反射型XSSの対策
管理者がログインした状態で発生可能なXSS(クロスサイトスクリプティング)攻撃を不可としました。