Japanized for WooCommerce

WooCommerce 関連脆弱性レポート(2025/02/17-2025/02/23)

in

Wordfence Intelligence 脆弱性報告の中で「WooCommerce」に関連すると思われるプラグイン(および WooCommerce 対応テーマ)を抽出し、それぞれの危険性(CVSS スコア等からみる深刻度)と重要度、および対策を日本語でまとめます。なお、バージョン表記や脆弱性の詳細は該当レポート本文を参照ください。すでにパッチが出ているものは早急にアップデートし、未パッチの場合は利用停止・代替策の検討を推奨します。

Wordfence Intelligence Weekly WordPress Vulnerability Report (February 17, 2025 to February 23 2025)

1. A1POST.BG Shipping for WooCommerce(バージョン1.5.1以下)

  • 脆弱性の種類: クロスサイトリクエストフォージェリ(CSRF)による特権昇格
  • CVSSスコア: 8.8(高)
  • CVE-ID: CVE-2025-27012
  • 修正状況: 未修正
  • 公開日: 2025年2月21日
  • 概要: 攻撃者が特定のリクエストを送信することで、管理者権限の昇格が可能になる可能性があります。

2. Shopwarden – Automated WooCommerce monitoring & testing(バージョン1.0.11以下)

  • 脆弱性の種類: クロスサイトリクエストフォージェリ(CSRF)による任意オプション更新
  • CVSSスコア: 8.8(高)
  • CVE-ID: CVE-2024-13315
  • 修正状況: 修正済み
  • 公開日: 2025年2月17日
  • 概要: CSRF攻撃により、管理者の意図しない設定変更が可能となる可能性があります。

3. File Uploads Addon for WooCommerce(バージョン1.7.1以下)

  • 脆弱性の種類: 未保護のディレクトリを通じた機密情報の漏洩
  • CVSSスコア: 7.5(高)
  • CVE-ID: CVE-2024-13622
  • 修正状況: 未修正
  • 公開日: 2025年2月17日
  • 概要: アップロードされたファイルが適切に保護されず、機密情報が外部からアクセス可能となるリスクがあります。

4. PressMart – Modern Elementor WooCommerce WordPress Theme(バージョン1.2.16以下)

  • 脆弱性の種類: 任意のショートコード実行
  • CVSSスコア: 7.3(高)
  • CVE-ID: CVE-2024-13797
  • 修正状況: 修正済み
  • 公開日: 2025年2月17日
  • 概要: 特定のパラメータを使用することで、管理者権限なしにショートコードが実行される可能性があります。

5. WooCommerce Food – Restaurant Menu & Food ordering(バージョン3.3.2以下)

  • 脆弱性の種類: 任意のショートコード実行
  • CVSSスコア: 7.3(高)
  • CVE-ID: CVE-2024-13792
  • 修正状況: 修正済み
  • 公開日: 2025年2月19日
  • 概要: 攻撃者が細工したリクエストを送信することで、WooCommerce Foodの機能を悪用する可能性があります。

6. Autoship Cloud for WooCommerce Subscription Products(バージョン2.8.0以下)

  • 脆弱性の種類: ストアド型クロスサイトスクリプティング(XSS)
  • CVSSスコア: 6.4(中)
  • CVE-ID: CVE-2024-13461
  • 修正状況: 修正済み
  • 公開日: 2025年2月20日
  • 概要: 攻撃者が悪意のあるスクリプトを仕込むことで、他のユーザーのブラウザで不正なコードが実行されるリスクがあります。

7. Active Products Tables for WooCommerce(バージョン1.0.6.6以下)

  • 脆弱性の種類: 反射型クロスサイトスクリプティング(XSS)
  • CVSSスコア: 6.1(中)
  • CVE-ID: CVE-2025-0864
  • 修正状況: 修正済み
  • 公開日: 2025年2月17日
  • 概要: 特定のリクエストを処理する際に適切なサニタイズが行われていないため、XSS攻撃の対象となる可能性があります。

8. BigBuy Dropshipping Connector for WooCommerce(バージョン1.9.19以下)

  • 脆弱性の種類: 未認証のフルパスディスクロージャー
  • CVSSスコア: 5.3(中)
  • CVE-ID: CVE-2024-13538
  • 修正状況: 未修正
  • 公開日: 2025年2月17日
  • 概要: 特定のリクエストにより、サーバー上のファイルパスが露出する可能性があります。

9. Flexible Wishlist for WooCommerce(バージョン1.2.26以下)

  • 脆弱性の種類: クロスサイトリクエストフォージェリ(CSRF)によるウィッシュリストの改変
  • CVSSスコア: 4.3(中)
  • CVE-ID: CVE-2024-13718
  • 修正状況: 修正済み
  • 公開日: 2025年2月17日
  • 概要: 攻撃者がユーザーのウィッシュリストを勝手に変更することが可能になるリスクがあります。

まとめと総合的な対策

該当プラグイン/テーマのバージョン確認とアップデート

  • 修正パッチがリリースされている場合は最優先で最新版にアップデートする。
  • 未パッチの場合、機能の一時停止や代替プラグインへの切り替え、ファイアウォール等でアクセス制限を行う。

不要なプラグインやテーマは削除

  • WooCommerce 関連プラグインも含め、不要なものがあれば無効化・削除し、攻撃面を減らす。