Welcart 1.9.4 がリリースされています。

Welcartにて脆弱性が見つかったとのことで、脆弱性に対応した修正版が公開されています。

古いバージョンの「Welcart」プラグインを使用されている場合は、第三者によってサイトを改ざんされる可能性があるため早急に最新版へのバージョンアップが必要です。

https://www.welcart.com/community/archives/83947

主な変更点は以下のようになっています。

オブジェクトインジェクション脆弱性の修正

フロントにて、オブジェクトインジェクションと思われる脆弱性が認められました。過去のすべてのバージョンが対象となります。1.9.4にアップグレードしてください。放置しますと、サイトに任意のファイルの埋め込まれる可能性があります。

• 納品書PDFが複数ページになる場合、1ページ目のフッター情報を表示しないよう変更
• 発送・支払ページで別配送先を選択し、「住所検索」ボタンを使用した場合、「配送希望日」が正しく設定されない不具合の修正
• wc_customer_page.php で mailaddress1 というid値が重複しているのを修正
• 【PayPal】ウェブペイメントプラスで決済時、受注データに配送先情報、商品が追加されない不具合の修正
• ポイント使用時、全てポイントで支払う場合、ポイントフォームが表示されなくなる不具合の修正
• 【ソフトバンクペイメント】決済に、銀聯オプションを追加
• 商品リストで、検索項目カテゴリーのとき、非公開のカテゴリーを選択肢に表示するよう修正
• 全額ポイント決済時に、消費税額が含まれるよう修正
• Yahoo!ウォレット 仕様変更に対応

レンタルサーバーからも注意喚起が行われています

Hetemlなどのレンタルサーバーからのユーザーに向けたメール配信にて通知しています。
https://heteml.jp/info/detail/id/1982

テーマへの影響

テーマへの影響はありません。
Welthemesのデモサイトも Welcart1.9.4（WordPress4.8.1） にそれぞれアップデートを行いました。

DemoSite4: https://demo4.welthemes.com/?themedemo=welcart_walden

その他のテーマデモサイト

DemoSite1: https://demo.welthemes.com/?themedemo=welcart_novel
DemoSite2: https://demo2.welthemes.com/?themedemo=welcart_hipster
DemoSite3: https://demo3.welthemes.com/?themedemo=welcart_sunshine