新年早々、wordpressのeコマース向けプラグインであるWooCommerceの ”3つの機能拡張プラグイン” に脆弱性が発見された。この脆弱性を悪用されると攻撃者によってWordPressサイトの任意のサイトオプションを変更される恐れがある。
この脆弱性 CVE-2022-0215 はWordfenceチームによる追跡調査によって、次の3つのWordPressプラグインに共通で含まれていることが判明している。
これらのプラグインはいずれもeコマース向けプラグインであるWooCommerceの機能を拡張するためのもので、すべて同じ開発者によって開発されている。脆弱性に対処するためのパッチは既にリリースされており、該当するプラグインを使っている方は至急対応することおすすめする。
Wordfenceチームによる追跡調査によって、CVE-2022-0215は次の3つのWordPressプラグインに共通で含まれていることが判明している。
・Login/Signup Popup (20,000サイト以上が利用)
・Waitlist Woocommerce ( Back in stock notifier ) (60,000サイト以上が利用)
・Side Cart Woocommerce (Ajax) (4,000サイト以上が利用)これらのプラグインはいずれもeコマース向けプラグインであるWooCommerceの機能を拡張するためのもので、すべて同じ開発者によって開発されている。脆弱性に対処するためのパッチは既にリリースされており、それぞれ次のバージョンにアップデートすることで、CVE-2022-0215の影響を回避することができる。
・Login/Signup Popup バージョン2.3 (2021年11月24日リリース)
・WaitlistWoocommerce (Back in stock notifier) バージョン2.5.2 (2021年12月17日リリース)
・Side Cart Woocommerce (Ajax) バージョン2.1 (2021年12月17日リリース)CVE-2022-0215のCVSS v3のベーススコアは8.8で、深刻度「Important(重要)」に分類されている。Wordfenceチームでは、もし知人や同僚がこれらのプラグインを利用している場合、Wordfenceによるセキュリティアドバイザリを転送して注意喚起を促すよう呼びかけている。
引用元:TECH+/マイナビニュース
