Eine kritische Sicherheitslücke im WordPress-Plugin LayerSlider wurde entdeckt, die es Angreifern ermöglichen könnte, sensible Daten aus Datenbanken, einschließlich Passwort-Hashes, zu extrahieren. Die Lücke, gekennzeichnet als CVE-2024-2879, hat einen CVSS-Wert von 9,8 von maximal 10,0. Sie betrifft die Versionen 7.9.11 bis 7.10.0 und wurde in der Version 7.10.1 am 27. März 2024 behoben, nachdem sie am 25. März verantwortungsvoll gemeldet wurde.
LayerSlider, ein visueller Webinhalt-Editor und eine Software für Grafikdesign und digitale visuelle Effekte, wird laut Hersteller weltweit von Millionen Nutzern eingesetzt. Die Sicherheitslücke resultiert aus einer unzureichenden Maskierung von Benutzereingaben und dem Fehlen von wpdb::prepare(), wodurch Angreifer unautorisiert zusätzliche SQL-Abfragen anhängen und sensible Informationen sammeln können.
Dieser Vorfall reiht sich in eine Liste kürzlich entdeckter Sicherheitslücken in WordPress-Plugins ein, darunter eine unauthentifizierte, gespeicherte Cross-Site-Scripting-Lücke (XSS) im WP-Members Membership Plugin (CVE-2024-1852, CVSS-Wert: 7,2), die in Version 3.4.9.3 behoben wurde, und Sicherheitslücken in den Plugins Tutor LMS (CVE-2024-1751, CVSS-Wert: 8,8) und Contact Form Entries (CVE-2024-2030, CVSS-Wert: 6,4), die für Informationsenthüllung bzw. das Einschleusen beliebiger Web-Skripte ausgenutzt werden könnten.
WordPress-Nutzer werden dringend aufgefordert, ihre Plugins auf die neueste Version zu aktualisieren, um sich gegen diese und andere Sicherheitsbedrohungen zu schützen.
