Falha em plugin LayerSlider afeta mais de um milhão de sites WordPress

O plugin do WordPress LayerSlider, usado em mais de um milhão de sites, possui uma grave falha de segurança que pode levar os sites a serem comprometidos. A falha pode permitir que sejam enviados comandos SQL, com o potencial de recolha de dados das instalações ou acesso administrativo.

LayerSlider é um plugin premium, focado em ajudar a criar sliders e galerias de imagens em sites WordPress. Este plugin conta com uma interface de gestão e criação dos conteúdos, o que permite aos administradores dos sites criarem rapidamente os conteúdos como pretendem.

O investigador de segurança AmrAwad terá descoberto a falha CVE-2024-2879, no dia 25 de Março de 2024, sendo que a mesma foi reportada à empresa de segurança Wordfence no mesmo dia. A falha encontra-se classificada com uma gravidade de 9.8 em 10, sendo bastante crítica.

Se explorada, a falha permite que utilizadores não autenticados possam enviar comandos SQL para o sistema, eventualmente comprometendo dados sensíveis da instalação do WordPress.

Os criadores do plugin foram prontamente notificados, tendo disponibilizado a correção do mesmo em menos de 48 horas depois da divulgação. Os utilizadores que usem o plugin LayerSlider são aconselhados a atualizarem para a versão 7.10.1 ou mais recente, de forma a corrigirem o problema.