WPプラグイン「LayerSlider」に深刻な脆弱性 - 発見者は報奨金最高額を獲得
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「LayerSlider」に深刻な脆弱性が明らかとなった。アップデートにて修正されている。
同ソフトウェアは、「WordPress」のコンテンツ表示において視覚効果を追加することができるプラグイン。一部アクションにSQLインジェクションの脆弱性「CVE-2024-2879」が明らかとなった。
同脆弱性は、「同7.10.0」から「同7.9.11」までのバージョンに存在。認証なしに悪用することが可能で、クエリを追加してデータベースを不正に操作し、データの窃取などが可能となる。
DefiantのWordfenceは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価。重要度をもっとも高い「クリティカル(Critical)」とレーティングした。
Wordfenceが実施していたバグ報奨金キャンペーンを通じて現地時間3月25日に報告を受けたという。報告者は同プログラムにおいて最高額となる5500ドルを獲得した。
同プラグインを開発するKreaturaでは、現地時間3月27日にアップデートとなる「同7.10.1」をリリース。同脆弱性を解消した。
(Security NEXT - 2024/04/08 )
ツイート
関連リンク
PR
関連記事
監視ツール「Pandora FMS」に複数の脆弱性 - アップデートで修正
GitHubアクション「reviewdog」で改ざん被害 - SC攻撃の起点に
区長死亡後の遺品整理で貸与文書が回収不能に - 大刀洗町
個人情報含むUSBメモリ4本が所在不明、監査で発覚 - 静岡県
博物館でメール誤送信、市民活動グループ会員のメアド流出 - 平塚市
Progress製ロードバランサーに脆弱性 - アップデートが公開
先週注目された記事(2025年3月16日〜2025年3月22日)
ストレージ仮想化ソフト「IBM Storage Virtualize」の一部プラグインに脆弱性
「MS Edge」にアップデート - 独自含む脆弱性3件を解消
「Next.js」に認可バイパスのおそれ - アップデートが公開