何が起きたか
Instant Image Generator WordPressプラグイン(≤2.1.4)には、SSRF脆弱性(CVSS 6.4)が含まれています。
なぜ重要か
爆発範囲は、この特定のAI画像生成プラグインを使用するサイトに限定されていますが、SSRFを使用して内部ネットワークをプローブするか、ホストサーバーからクラウドメタデータエンドポイントに到達できます。
攻撃経路
AI画像生成プラグインのサーバーサイドリクエストフォージャリーにより、攻撃者はサーバーが任意の/内部の送信先にリクエストを発行できます。
影響を受けるシステム
bdthemes Instant Image Generator(ai-image)、≤2.1.4まで
緩和策
Patchstack勧告に従って2.1.4を超えるように更新してください。