simpleplus_vertical_home_top
ソニーペイメントサービスの2つの決済モジュール

Enable Media Replaceのセキュリティ・アップデート

Enable Media Replace プラグインに再度セキュリティ更新があったので、これを使用しているサイトの更新を行いました。更新内容は以下の通りです。

  • プラグイン名 Enable Media Replace
  • 開発元   ShortPixel
  • 修正済みバージョン 4.1.3
  • 危険度  6.6 (Medium)
  • 脆弱性 Authenticated(Editor+) PHP Object Injection

 解説

認証されたユーザー(Editor以上の権限を持つユーザー)がPHPオブジェクトインジェクション(PHP Object Injection)攻撃を実行できるという脆弱性を示しています。

PHPオブジェクトインジェクションは、攻撃者が不正なPHPオブジェクトをシリアライズしてアプリケーションに送り込み、そのオブジェクトがアンシリアライズ(デシリアライズ)されたときに、アプリケーション内で任意のPHPコードを実行できる脆弱性です。認証済みのEditor以上のユーザーがこの攻撃を実行できるということは、サイト管理者の権限で悪意のある操作を行う可能性があることを意味します。

この脆弱性を悪用すると、攻撃者は特定の操作を通じて、サイトのコントロールを奪ったり、データベースにアクセスしたり、他のユーザーに悪意のあるスクリプトを実行させたりすることができます。

脆弱性を修正するためには、プラグインの開発者はユーザーからの入力データを適切に検証し、シリアライズされたオブジェクトの安全な処理を確保する必要があります。また、セキュリティパッチやアップデートが提供されている場合は、これを適用することで脆弱性を修正することができます。

ユーザー側では、信頼できるプラグインを使用し、定期的なアップデートを行うことが重要です。また、不審な操作に注意を払い、セキュリティ意識を高めることも大切です。

引用 ChatGPT