JVNDB-2015-002691

JVNDB-2015-002691
WordPress 用 TheCartPress eCommerce Shopping Cart プラグインにおけるクロスサイトスクリプティングの脆弱性
概要
WordPress 用 TheCartPress eCommerce Shopping Cart (別名 The Professional WordPress eCommerce Plugin) プラグインには、クロスサイトスクリプティングの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

TheCartPress TheCartPress eCommerce Shopping Cart 1.3.9.3 未満

想定される影響
第三者により、以下を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) shopping-cart/checkout/ の billing_firstname (2) shopping-cart/checkout/ の billing_lastname (3) shopping-cart/checkout/ の billing_company (4) shopping-cart/checkout/ の billing_tax_id_number (5) shopping-cart/checkout/ の billing_city (6) shopping-cart/checkout/ の billing_street (7) shopping-cart/checkout/ の billing_street_2 (8) shopping-cart/checkout/ の billing_postcode (9) shopping-cart/checkout/ の billing_telephone_1 (10) shopping-cart/checkout/ の billing_telephone_2 (11) shopping-cart/checkout/ の billing_fax (12) shopping-cart/checkout/ の shipping_firstname (13) shopping-cart/checkout/ の shipping_lastname (14) shopping-cart/checkout/ の shipping_company (15) shopping-cart/checkout/ の shipping_tax_id_number (16) shopping-cart/checkout/ の shipping_city (17) shopping-cart/checkout/ の shipping_street (18) shopping-cart/checkout/ の shipping_street_2 (19) shopping-cart/checkout/ の shipping_postcode (20) shopping-cart/checkout/ の shipping_telephone_1 (21) shopping-cart/checkout/ の shipping_telephone_2 (22) shopping-cart/checkout/ の shipping_fax (23) wp-admin/admin.php の admin/AddressesList.php ページの search_by パラメータ (24) wp-admin/admin.php の admin/AddressEdit.php ページの address_id パラメータ (25) wp-admin/admin.php の admin/AddressEdit.php ページの address_name パラメータ (26) wp-admin/admin.php の admin/AddressEdit.php ページの firstname パラメータ (27) wp-admin/admin.php の admin/AddressEdit.php ページの lastname パラメータ (28) wp-admin/admin.php の admin/AddressEdit.php ページの street パラメータ (29) wp-admin/admin.php の admin/AddressEdit.php ページの city パラメータ (30) wp-admin/admin.php の admin/AddressEdit.php ページの postcode パラメータ (31) wp-admin/admin.php の admin/AddressEdit.php ページの email パラメータ (32) wp-admin/admin.php の admin/AssignedCategoriesList.php ページの post_id パラメータ (33) wp-admin/admin.php の admin/AssignedCategoriesList.php ページの rel_type パラメータ (34) wp-admin/admin.php の admin/CustomFieldsList.php ページの post_type パラメータ
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
TheCartPress TheCartPress : Top Page WordPress.org WordPress Plugin Directory : TheCartPress eCommerce Shopping Cart
CWEによる脆弱性タイプ一覧 CWEとは?
クロスサイトスクリプティング(CWE-79) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2015-3300
参考情報
National Vulnerability Database (NVD) : CVE-2015-3300 関連文書 : HTB23254: Multiple Vulnerabilities in TheCartPress WordPress plugin
更新履歴
[2015年05月19日] 掲載


公表日	2015/05/03
登録日	2015/05/19
最終更新日	2015/05/19

WordPress 用 TheCartPress eCommerce Shopping Cart プラグインにおけるクロスサイトスクリプティングの脆弱性