Uma falha de segurança crítica foi descoberta no popular plugin LayerSlider para WordPress, que poderia ser explorada para extrair informações sensíveis de bancos de dados, como hashes de senha. Identificada como CVE-2024-2879, essa vulnerabilidade de injeção SQL afeta as versões de 7.9.11 a 7.10.0 do plugin e recebeu uma pontuação CVSS de 9.8 em 10. A falha foi corrigida na versão 7.10.1, lançada em 27 de março de 2024, após uma divulgação responsável em 25 de março.

O LayerSlider é uma ferramenta de edição de conteúdo web visual, software de design gráfico e efeitos visuais digitais que permite aos usuários criar animações e conteúdo rico para seus sites. De acordo com o site oficial, o plugin é utilizado por milhões de usuários em todo o mundo.

A vulnerabilidade foi causada por uma escapatória insuficiente de parâmetros fornecidos pelo usuário e a ausência da função wpdb::prepare(), permitindo que atacantes não autenticados anexassem consultas SQL adicionais e coletassem informações sensíveis, conforme relatado pela Wordfence.

Nas últimas semanas, vulnerabilidades de segurança também foram divulgadas em outros plugins do WordPress, como Tutor LMS (CVE-2024-1751, pontuação CVSS: 8.8) e Contact Form Entries (CVE-2024-2030, pontuação CVSS: 6.4), que poderiam ser exploradas para divulgação de informações e injeção de scripts web arbitrários, respectivamente.