Panda Video <= 1.4.0 - 認証済み (貢献者+) ローカルファイルインクルージョン

このLFI脆弱性は、攻撃者にとって非常に危険です。認証された攻撃者は、Contributorレベル以上のアクセス権を持つことで、サーバー上の任意のPHPファイルをインクルードし、実行できます。これにより、攻撃者はアクセス制御をバイパスし、機密情報を盗み出し、最終的にはサーバー上でコードを実行することが可能になります。特に、画像やその他の安全なファイルタイプをアップロードできる環境では、攻撃の影響が拡大する可能性があります。この脆弱性は、WordPressサイト全体のセキュリティを脅かす重大なリスクとなります。

WordPress websites using the Panda Video plugin, particularly those with multiple users granted Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable, as attackers may be able to upload malicious files more easily.

• wordpress / composer / npm:

grep -r 'selected_button' /var/www/html/wp-content/plugins/panda-video/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep panda-video

• wordpress / composer / npm:

curl -I http://your-wordpress-site.com/wp-content/plugins/panda-video/ | grep selected_button

1. 2024-07-09Disclosure

   disclosure

1. 予約済み2024-05-28
2. 公開日2024-07-09
3. 更新日2024-08-01
4. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、Panda Videoプラグインを最新バージョン（1.4.0以降）にアップデートすることです。アップデートがすぐに利用できない場合、'selected_button'パラメータへの入力を厳密に制限するWAFルールやプロキシ設定を実装することを検討してください。また、WordPressのファイルアップロードディレクトリへのアクセス権を制限し、不要なファイルのアップロードを禁止することで、攻撃対象領域を縮小できます。アップデート後、プラグインの動作を確認し、LFI攻撃の兆候がないことを確認してください。