中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

首页>漏洞通告>关于WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879)的安全告知

1. 1
2. 2
3. 3
4. 4
5. 5
6. 6
7. 7
8. 8
9. 9
10. 10
11. 11
12. 12
13. 13
14. 14
15. 15
16. 16
17. 17

关于WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879)的安全告知

时间：2024-04-09 17:37:14来源：信息安全部作者：开yun体育官网入口

LayerSlider 是一款可视化 web 内容编辑器、图形设计软件和数字化可视化软件，可允许用户为网站创建动画和富内容，该插件全球拥有数百万名用户。

漏洞详情
WordPress LayerSlider 插件存在SQL注入漏洞(CVE-2024-2879)，在版本7.9.11–7.10.0中，由于对用户提供的参数转义不充分以及缺少wpdb::prepare()，可能导致通过 ls_get_popup_markup 操作受到SQL注入攻击，未经身份验证的威胁者可利用该漏洞从数据库中获取敏感信息。

影响范围
LayerSlider插件版本7.9.11–7.10.0

漏洞复现

修复建议
厂商已发布漏洞修复版本，请根据厂商修复建议进行修复。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://www.wordfence.com/blog/2024/04/5500-bounty-awarded-for-unauthenticated-sql-injection-vulnerability-patched-in-layerslider-wordpress-plugin/
https://www.wordfence.com/blog/2024/04/unauthenticated-stored-cross-site-scripting-vulnerability-patched-in-wp-members-membership-plugin-500-bounty-awarded/