1. Estatik plugin vulnerability

ワードプレスEstatik pluginは、ワードプレス不動産ウェブサイトを構成できるプラグインです。

2.2.1バージョンにアップロード関数にファイル拡張子チェックをするロジックが存在せず、ワードプレスが提供するAjaxの誤った使用によりファイルアップロードの脆弱性が発生しました。

2. デモ攻撃シナリオ

1) Estatik plugin脆弱性を利用したファイルアップロード攻撃

2) 攻撃ログがPLURAで正常に収集されたか確認

3) PLURAウェブファイアウォールログを活用した分析方法

4) PLURAウェブファイアウォール(WAF)- Estatik plugin脆弱性攻撃に対する遮断試演

3. 参考サイト

[1] ワードプレスで作ったサイト必須セキュリティTOP10 http://blog.plura.io/?p=18623