Defiantは4月2日(米国時間)、「$5,500 Bounty Awarded for Unauthenticated SQL Injection Vulnerability Patched in LayerSlider WordPress Plugin」において、人気のWordPress向けアニメーションWebコンテンツ制作プラグイン「LayerSlider」から緊急の脆弱性を発見したとして、注意を呼び掛けた。この脆弱性を悪用されると、認証されていない第三者によりデータベースから機密情報を窃取される可能性がある。

  • $5、500 Bounty Awarded for Unauthenticated SQL Injection Vulnerability Patched in LayerSlider WordPress Plugin

    $5,500 Bounty Awarded for Unauthenticated SQL Injection Vulnerability Patched in LayerSlider WordPress Plugin

脆弱性の情報

発見された脆弱性は「CVE-2024-2879」として追跡されている。この脆弱性はタイムベースのSQLインジェクションとされ、ユーザーが指定するパラメーターを適切にサニタイズしていないことに加え、$wpdb->prepare()関数を使用していないため、悪意のあるSQLコードを挿入される可能性がある。

脆弱性の影響を受けるバージョン

脆弱性の影響を受けるとされるバージョンは次のとおり。

  • LayerSlider 7.9.11から7.10.0までのバージョン

脆弱性が修正されたバージョン

脆弱性を修正したバージョンは次のとおり。

  • LayerSlider 7.10.1

対策

この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。LayerSliderプラグインを使用しているWordPressサイトの管理者には、影響を確認して速やかにアップデートすることが推奨されている。