# \[準備中] Estatik plugin vulnerability

{% embed url="<https://youtu.be/fNhVYHjSKdQ>" %}

### 1. Estatik plugin vulnerability <a href="#id-1" id="id-1"></a>

ワードプレスEstatik pluginは、ワードプレス不動産ウェブサイトを構成できるプラグインです。

2.2.1バージョンにアップロード関数にファイル拡張子チェックをするロジックが存在せず、ワードプレスが提供するAjaxの誤った使用によりファイルアップロードの脆弱性が発生しました。

### 2. デモ攻撃シナリオ <a href="#id-2" id="id-2"></a>

1\) Estatik plugin脆弱性を利用したファイルアップロード攻撃

2\) 攻撃ログがPLURAで正常に収集されたか確認

3\) PLURAウェブファイアウォールログを活用した分析方法

4\) PLURAウェブファイアウォール(WAF)- Estatik plugin脆弱性攻撃に対する遮断試演

### 3. 参考サイト <a href="#id-3" id="id-3"></a>

\[1] ワードプレスで作ったサイト必須セキュリティTOP10 <https://blog.plura.io/ja/column/wordpress_security_top10/>