Sucuriはこのほど、「Critical Vulnerability Discovered in WooCommerce Payments」において、WooCommerce Paymentsプラグインに重大な脆弱性があることを伝えた。WooCommerce Paymentsプラグインは50万以上のアクティブインストールを誇るWordPress用eコマース決済プラグイン。ホワイトハットのセキュリティ研究者であるMichael Mazzolini氏によって発見された脆弱性と報告している。
-
Critical Vulnerability Discovered in WooCommerce Payments
この欠陥の詳細な情報はまだ明らかになっていないが、認証されていない管理者権限でWebサイトが乗っ取られてしまう危険性があることは判明している。「./wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php」というファイル内に脆弱性があることが特定されており、すでに対象のファイルはWooCommerce Paymentsプラグインから完全に削除されたと伝えている。
このプラグインを使用しているWebサイト管理者は、できるだけ早くパッチを適用し、認識できないIPアドレスから管理操作が行われていないかなど、WordPressサイト内で疑わしい動きがないか確認することが望まれている。Sucuriが推奨する対応は次のとおり。
- woocommerce-paymentsをすぐにバージョン5.6.2に更新する
- すべての管理者パスワードを変更する
- 決済ゲートウェイおよびWooCommerceのAPIキーをローテーションする
パスワードそのものが漏洩する可能性は低いと考えられているが、複数のWebサイトでパスワードを再利用している場合はパスワードを変更することが推奨されている。また念のため、wp-config.phpファイルにあるWordPressソルトを変更することも推奨している。
