Recentemente, o pesquisador AmrAwad descobriu que uma falha no plugin WordPress LayerSlider afeta 1 milhão de sites.
LayerSlider é um plugin WordPress premium e uma ferramenta versátil para criar controles deslizantes responsivos, galerias de imagens e animações em sites WordPress, permitindo aos usuários construir elementos visualmente atraentes com conteúdo dinâmico em plataformas online.
Usado em mais de um milhão de sites, agora foi descoberto que esse plugin é vulnerável à injeção de SQL não autenticada, exigindo que os administradores priorizem a aplicação de atualizações de segurança para o plugin.
Falha no plugin WordPress LayerSlider afeta 1 milhão de sites
O pesquisador AmrAwad descobriu a falha crítica (pontuação CVSS: 9,8), rastreada como CVE-2024-2879, em 25 de março de 2024, e a relatou à empresa de segurança WordPress Wordfence por meio de seu programa de recompensas de bugs.
Por suas reportagens responsáveis, AmrAwad recebeu uma recompensa de US$ 5.500.
A falha, que afeta as versões 7.9.11 a 7.10.0 do plugin, pode permitir que invasores extraiam dados confidenciais, como hashes de senha, do banco de dados do site, colocando-os em risco de aquisição total ou violação de dados.
Os detalhes técnicos fornecidos no relatório do Wordfence revelam que a vulnerabilidade existia no manuseio do parâmetro ‘id’ pela função ‘ls_get_popup_markup’ do plugin.
Esta função não limpa adequadamente o parâmetro ‘id’, permitindo que invasores injetem código SQL malicioso em consultas especialmente criadas, resultando na execução de comandos.
A estrutura das consultas possíveis limita o ataque à injeção cega de SQL baseada no tempo, o que significa que os invasores precisam observar os tempos de resposta para inferir dados do banco de dados.
Apesar desta limitação, o CVE-2024-2879 ainda permite que agentes mal-intencionados extraiam informações do banco de dados do site sem exigir qualquer autenticação no site, incluindo hashes de senha e informações confidenciais do usuário.
Wordfence explica que o problema é ainda mais agravado porque as consultas não são preparadas usando a função ‘$wpdb->prepare()’ do WordPress, que evita a injeção de SQL, garantindo que a entrada do usuário seja higienizada antes de ser usada em consultas de banco de dados.
O criador do plugin, Kreatura Team, foi imediatamente notificado da falha e rapidamente reconheceu o relatório. Os desenvolvedores lançaram uma atualização de segurança em 27 de março de 2024, menos de 48 horas após o contato inicial.
Recomenda-se que todos os usuários do LayerSlider atualizem para a versão 7.10.1, que aborda a vulnerabilidade crítica.
Em geral, é importante que os administradores de sites WordPress mantenham todos os seus plug-ins atualizados, desativem aqueles que não são necessários, usem senhas de conta fortes e desativem contas inativas que podem ser invadidas.
