Defiantは4月2日(米国時間)、「$5,500 Bounty Awarded for Unauthenticated SQL Injection Vulnerability Patched in LayerSlider WordPress Plugin」において、人気のWordPress向けアニメーションWebコンテンツ制作プラグイン「LayerSlider」から緊急の脆弱性を発見したとして、注意を呼び掛けた。この脆弱性を悪用されると、認証されていない第三者によりデータベースから機密情報を窃取される可能性がある。
脆弱性の情報
発見された脆弱性は「CVE-2024-2879」として追跡されている。この脆弱性はタイムベースのSQLインジェクションとされ、ユーザーが指定するパラメーターを適切にサニタイズしていないことに加え、$wpdb->prepare()関数を使用していないため、悪意のあるSQLコードを挿入される可能性がある。
脆弱性の影響を受けるバージョン
脆弱性の影響を受けるとされるバージョンは次のとおり。
- LayerSlider 7.9.11から7.10.0までのバージョン
脆弱性が修正されたバージョン
脆弱性を修正したバージョンは次のとおり。
- LayerSlider 7.10.1
対策
この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。LayerSliderプラグインを使用しているWordPressサイトの管理者には、影響を確認して速やかにアップデートすることが推奨されている。