Welcart 1.3.5 をリリースいたしました。フロントから会員情報を改竄できてしまう脆弱性が見つかりました。全てのバージョンが対象となります。
アップグレードを行う際は、念のためにデータベースのバックアップを取ってから行ってください。また、1.0など旧バージョンからアップグレードを行う際は、一旦 Welcart を停止してから自動アップグレードを行うか、もしくはアップグレード後に再有効化を行ってください。
今回の更新内容は次の通りです。
- 会員情報を更新する際に、他人の情報を改竄できてします不具合を修正
- 一括登録でpost_nameに全角を入れると文字化けする不具合を修正
テーマに関係する変更はございません。
脆弱性の修正は以下の通りです。
usc-e-shop/classes/usceshop.class.php
regist_member() 内
差分はこちらです。3627~3850行目