WordPress: bug di LayerSlider mette a rischio 1 milione di siti

Un plugin WordPress premium denominato LayerSlider, utilizzato in oltre un milione di siti, è vulnerabile all’iniezione SQL non autenticata. Per questo motivo, gli amministratori dei siti sono invitati ad aggiornare il plugin all’ultima versione, in modo da correggere il bug critico. LayerSlider è uno strumento versatile per creare slider reattivi, gallerie di immagini e animazioni su siti WordPress. Il ricercatore AmrAwad ha scoperto il difetto critico (punteggio CVSS: 9,8), tracciato come CVE-2024-2879, il 25 marzo 2024. In seguito, lo ha segnalato alla società di sicurezza WordPress Wordfence tramite il suo programma bug bounty. La falla, che colpisce le versioni del plugin dalla 7.9.11 alla 7.10.0, potrebbe consentire agli aggressori di estrarre dati sensibili, come gli hash delle password dal database del sito, mettendoli a rischio di acquisizione completa o violazione dei dati.

WordPress: come funziona il bug critico del plugin LayerSlider

I dettagli tecnici forniti nel report di Wordfence rivelano che la vulnerabilità esisteva nella gestione del parametro "id" da parte della funzione "ls_get_popup_markup" del plugin. Questa funzione non riesce a correggere il parametro "id". Ciò permette agli aggressori di inserire codice SQL dannoso in query appositamente predisposte, con conseguente esecuzione di comandi. La struttura delle possibili query limita l'attacco alla blind SQL injection basata sul tempo. Questo significa che gli aggressori devono rispettare i tempi di risposta per dedurre i dati dal database. Nonostante questa limitazione, CVE-2024-2879 consente comunque ai malintenzionati di estrarre informazioni dal database del sito senza richiedere alcuna autenticazione, inclusi hash delle password e informazioni sensibili dell'utente.

Wordfence spiega che il problema è ulteriormente aggravato perché le query non vengono preparate utilizzando la funzione "$wpdb->prepare()" di WordPress. Ciò impedisce l'iniezione SQL garantendo che l'input dell'utente venga ripulito prima di essere utilizzato nelle query del database. Il creatore del plugin, Kreatura Team, è stato immediatamente informato del difetto e ha subito riconosciuto la segnalazione. Gli sviluppatori hanno rilasciato un aggiornamento di sicurezza il 27 marzo 2024, meno di 48 ore dopo il contatto iniziale.