2023-07-01から1ヶ月間の記事一覧

2023-07-15

「SSTI（サーバサイド・テンプレート・インジェクション）経由のDoS攻撃」を試す

TL;DR はじめに検証 ① 一般的な攻撃 ERB テンプレートエンジンパターン１: 簡単な演算パターン２: 任意のファイルの読み込みパターン３: OSコマンドの実行 Liquid テンプレートエンジンパターン１: 簡単な演算パターン２: ファイルの読み込みパターン…

2023-07-06

WordPressプラグイン「Ultimate Member」の Unauthenticated Privilege Escalation(CVE-2023-3460) の普及度調査

セキュリティ WordPress

TL;DR 脆弱性の概要 PoC 脆弱性の流れ調査利用バージョンの確認約80万(80,3632)の WordPress サイトを確認 1,168 サイトの Ultimate Member のバージョンを確認導入数とバージョンの全体バックドア用アカウントの確認まとめ参考 TL;DR 「Ultimate Mem…

まったり技術ブログ

Webエンジニアのセキュリティブログ

2023-07-01から1ヶ月間の記事一覧

「SSTI（サーバサイド・テンプレート・インジェクション）経由のDoS攻撃」を試す

WordPressプラグイン「Ultimate Member」の Unauthenticated Privilege Escalation(CVE-2023-3460) の普及度調査