
Un plugin WordPress premium nommé LayerSlider, utilisé dans plus d’un million de sites, est vulnérable à l’injection SQL non authentifiée, obligeant les administrateurs à donner la priorité à l’application des mises à jour de sécurité pour le plugin.
LayerSlider est un outil polyvalent pour créer des curseurs réactifs, des galeries d’images et des animations sur les sites WordPress, permettant aux utilisateurs de créer des éléments visuellement attrayants avec un contenu dynamique sur les plateformes en ligne.
Le chercheur AmrAwad a découvert la faille critique (score CVSS: 9,8), identifiée comme CVE-2024-2879, le 25 mars 2024, et l’a signalée à la société de sécurité WordPress Wordfence via son programme de primes aux bogues. Pour ses reportages responsables, AmrAwad a reçu une prime de 5 500 dollars.
La faille, qui affecte les versions 7.9.11 à 7.10.0 du plugin, pourrait permettre aux attaquants d’extraire des données sensibles, telles que des hachages de mots de passe, de la base de données du site, les exposant à un risque de prise de contrôle complète ou de violation de données.
Les détails techniques fournis dans le rapport de Wordfence révèlent que la vulnérabilité existait dans la gestion du paramètre ‘id’ par la fonction ‘ls_get_popup_markup’ du plugin.
Cette fonction ne parvient pas à nettoyer correctement le paramètre ‘id’, ce qui permet aux attaquants d’injecter du code SQL malveillant dans des requêtes spécialement conçues, entraînant l’exécution de la commande.

La structure des requêtes possibles limite l’attaque à une injection SQL aveugle basée sur le temps, ce qui signifie que les attaquants doivent observer les temps de réponse pour déduire des données de la base de données.
Malgré cette limitation, CVE-2024-2879 permet toujours à des acteurs malveillants d’extraire des informations de la base de données du site sans nécessiter d’authentification sur le site, y compris des hachages de mot de passe et des informations utilisateur sensibles.
Wordfence explique que le problème est encore exacerbé car les requêtes ne sont pas préparées à l’aide de la fonction ‘w wpdb->prepare()’ de WordPress, qui empêche l’injection SQL en garantissant que les entrées utilisateur sont nettoyées avant d’être utilisées dans les requêtes de base de données.
Le créateur du plugin, l’équipe Kreatura, a été immédiatement informé de la faille et a rapidement reconnu le rapport. Les développeurs ont publié une mise à jour de sécurité le 27 mars 2024, moins de 48 heures après le premier contact.
Il est recommandé à tous les utilisateurs de LayerSlider de passer à la version 7.10.1, qui corrige la vulnérabilité critique.
En général, il est important pour les administrateurs de sites WordPress de garder tous leurs plugins à jour, de désactiver ceux qui ne sont pas nécessaires, d’utiliser des mots de passe de compte forts et de désactiver les comptes dormants qui peuvent être détournés.