Un plugin WordPress premium denominato LayerSlider, utilizzato in oltre un milione di siti, è vulnerabile all’iniezione SQL non autenticata, richiedendo agli amministratori di dare priorità all’applicazione degli aggiornamenti di sicurezza per il plugin.
LayerSlider è uno strumento versatile per creare slider reattivi, gallerie di immagini e animazioni su siti WordPress, consentendo agli utenti di creare elementi visivamente accattivanti con contenuti dinamici su piattaforme online.
Il ricercatore AmrAwad ha scoperto il difetto critico (punteggio CVSS: 9,8), tracciato come CVE-2024-2879, il 25 marzo 2024 e lo ha segnalato alla società di sicurezza WordPress Wordfence tramite il suo programma bug bounty. Per il suo lavoro responsabile, AmrAwad ha ricevuto una taglia di 5.500 dollari.
La falla, che colpisce le versioni dalla 7.9.11 alla 7.10.0 del plugin, potrebbe consentire agli aggressori di estrarre dati sensibili, come gli hash delle password, dal database del sito, mettendoli a rischio di acquisizione completa o violazione dei dati.
Dettagli tecnici forniti in Il rapporto di Wordfence rivelare che la vulnerabilità esisteva nella gestione del parametro “id” da parte della funzione “ls_get_popup_markup” del plugin.
Questa funzione non riesce a disinfettare correttamente il parametro “id”, consentendo agli aggressori di inserire codice SQL dannoso in query appositamente predisposte, con conseguente esecuzione di comandi.
La struttura delle possibili query limita l'attacco alla blind SQL injection basata sul tempo, il che significa che gli aggressori devono rispettare i tempi di risposta per dedurre i dati dal database.
Nonostante questa limitazione, CVE-2024-2879 consente comunque ad autori malintenzionati di estrarre informazioni dal database del sito senza richiedere alcuna autenticazione sul sito, inclusi hash delle password e informazioni sensibili dell'utente.
Wordfence spiega che il problema è ulteriormente aggravato perché le query non vengono preparate utilizzando la funzione “$wpdb->prepare()” di WordPress, che impedisce l'iniezione SQL garantendo che l'input dell'utente venga ripulito prima di essere utilizzato nelle query del database.
Il creatore del plugin, Kreatura Team, è stato immediatamente informato del difetto e ha subito preso atto della segnalazione. Gli sviluppatori hanno rilasciato un aggiornamento di sicurezza il 27 marzo 2024, meno di 48 ore dopo il contatto iniziale.
Si consiglia a tutti gli utenti di LayerSlider di eseguire l'aggiornamento alla versione 7.10.1, che risolve la vulnerabilità critica.
In generale, è importante che gli amministratori dei siti WordPress mantengano aggiornati tutti i plug-in, disabilitino quelli non necessari, utilizzino password di account complesse e disattivino gli account dormienti che possono essere violati.