В популярном плагине LayerSlider для WordPress обнаружена критическая уязвимость
Обнаружена критическая уязвимость безопасности, затрагивающая плагин LayerSlider для WordPress. Она может быть использована для извлечения конфиденциальной информации из баз данных, например хэшей паролей.
Уязвимость, обозначенная как CVE-2024-2879, имеет оценку CVSS 9,8 из максимального значения 10,0. Это было описано как случай SQL-инъекции, затронувшей версии с 7.9.11 по 7.10.0.
Проблема была решена в версии 7.10.1, выпущенной 27 марта 2024 года, после ответственного раскрытия информации 25 марта.
LayerSlider – это визуальный редактор веб-контента, программное обеспечение (ПО) для графического дизайна и цифровых визуальных эффектов, которые позволяют пользователям создавать анимацию и богатый контент для своих веб-сайтов. По данным сайта Wordfence, плагином пользуются «миллионы пользователей по всему миру».
По словам экспертов, обнаруженная в инструменте уязвимость связана с недостаточным экранированием заданных пользователем параметров и отсутствием wpdb::prepare(), что позволяет неаутентифицированным злоумышленникам добавлять дополнительные SQL-запросы и собирать конфиденциальную информацию.
Новости партнеров
Похожие публикации
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.