OSコマンドインジェクションについて

弊社プラグインをご利用いただき、誠にありがとうございます。
また、この度は詳細なご報告をお寄せいただき、重ねて感謝申し上げます。

ご報告いただきました「OSコマンドインジェクション」に関する事象について、
現在、弊社にて再現を試みておりますが、いくつか確認させていただきたい点がございます。

お手数をおかけいたしますが、以下の点についてご教示いただけますでしょうか。

• xmlrpc.php経由で投稿を操作されている際、具体的にどのようなツールや方法をご利用されていますか。
• 拒否された際に「/nc」という文字列がマッチしていたとのことですが、この文字列がどの部分に含まれているかご存じでしょうか（例：投稿内容やメタ情報など）。

追加でご不明点などがございましたら、お気軽にお知らせください。
ご確認のほど、何卒よろしくお願い申し上げます。

迅速なご返信及びご対応ありがとうございます。

まず記事操作というと少し、語弊がありました。申し訳ありません。
正確に言うと、画像投稿のみをAPI経由で行っていたということになります。

ここからはご質問にお答えいたします。

私は所謂まとめサイトを運営しており、まとめくす[ https://2mtmex.com/ ]を使用しており、API設定から諸設定を行い、画像をxmlrpc.php経由で投稿しております。

その際、画像がエラーで投稿できなかったため、シンプルWAFの検知履歴一覧を閲覧すると投稿時刻と同時刻にログが残っていたことから報告した次第です。

そのため、詳細なメタ情報などは技術的にも把握できておりません。また、投稿を拒否された画像についても覚えていないため、具体的な情報提供はできません。

大したお力に成れず申し訳ありません。
お手すきな時にでも対応していただけると幸いです。

ご返信いただき誠にありがとうございます。

ご提供いただいた情報をもとに、当プラグインの改善に向けて引き続き調査を進めてまいります。
また、画像投稿エラーの件につきまして、APIを利用した環境においても快適にご活用いただけるよう努めてまいります。

お忙しい中、貴重な情報をご提供いただきましたこと、重ねて感謝申し上げます。
今後とも当プラグインをどうぞよろしくお願い申し上げます。