Origine : bjCSIRT

Numéro : 2024/ALERTE/020

Date de l’alerte : 04/04/2024

APERÇU :

Le plugin LayerSlider de WordPress est affecté par une vulnérabilité de type SQL Injection, qui permettrait à un attaquant non authentifié d’extraire des informations dans la base de données.

DESCRIPTION 

Le plugin LayerSlider est un outil d’édition de contenu Web visuel, de conception graphique permettant aux utilisateurs de créer des animations et du contenu riche pour leurs sites Web.

Ce plugin est affecté par une vulnérabilité identifiée sous le libellé CVE-2024-2879 dont l’exploitation permettrait à un attaquant non authentifié d’extraire des informations sensibles, y compris des mots de passes hachés, dans la base de données du site web impacté. Cette faille résulte d’un échappement insuffisant des paramètres fournis par un utilisateur et de l’absence de préparation de la requête existante, ce qui permet aux attaquants d’injecter des requêtes malicieuses supplémentaires.

Cette vulnérabilité est classée critique avec un score CVSSv3 de 9.8.

IMPACT :

• Atteinte à la confidentialité des données

SYSTÈMES AFFECTÉS :

Les versions 7.9.11-7.10.0 du plugin LayerSlider.

MESURES À PRENDRE :

Appliquer une mise à jour vers la version 7.10.1 du plugin LayerSlider.

RÉFÉRENCES :

• https://www.wordfence.com/threat-intel/vulnerabilities/id/3fddf96e-029c-4753-ba82-043ca64b78d3?source=cve
• https://layerslider.com/release-log
• https://nvd.nist.gov/vuln/detail/CVE-2024-2879