Un popular complemento premium de WordPress, conocido como LayerSlider y utilizado en más de un millón de sitios, ha sido identificado como vulnerable a una injection de SQL no autenticada.
Esto destaca la importancia de que los administradores prioricen la aplicación de actualizaciones de seguridad para el complemento.
LayerSlider es una herramienta altamente versátil utilizada para crear deslizadores responsivos, galerías de imágenes y animaciones en sitios de WordPress.
Esto permite a los usuarios construir elementos visualmente atractivos con contenido dinámico en sus plataformas en línea.
La falla crítica (con una puntuación CVSS de 9.8), rastreada como CVE-2024-2879, fue descubierta el 25 de marzo de 2024 por el investigador AmrAwad, quien la reportó a la firma de seguridad de WordPress, Wordfence, a través de su programa de recompensas por errores.
Por su reporte, AmrAwad recibió una recompensa de $5,500.
Esta vulnerabilidad, presente en las versiones 7.9.11 hasta la versión 7.10.0 del complemento, podría permitir a los atacantes extraer datos sensibles, como hashes de contraseñas, de la base de datos del sitio, lo que los pone en riesgo de toma completa o filtraciones de datos.
Los detalles técnicos proporcionados en el informe de Wordfence revelan que la vulnerabilidad reside dentro de la función ‘ls_get_popup_markup’ del complemento, específicamente en el manejo del parámetro ‘id’.
Esta función no sanitiza adecuadamente el parámetro ‘id’, lo que permite a los atacantes inyectar código SQL malicioso en consultas especialmente diseñadas, resultando en la ejecución de comandos.
La estructura de las posibles consultas limita el ataque a una inyección SQL ciega basada en el tiempo, lo que significa que los atacantes deben observar los tiempos de respuesta para inferir datos de la base de datos.
A pesar de esta limitación, CVE-2024-2879 sigue siendo preocupante, ya que permite que actores maliciosos extraigan información de la base de datos del sitio sin necesidad de autenticarse en el mismo, incluidos los hashes de contraseñas y otra información sensible del usuario.
Wordfence explica que el problema se agrava aún más porque las consultas no se preparan utilizando la función ‘$wpdb->prepare()’ de WordPress, que evita la inyección SQL al asegurar que la entrada del usuario se sanea antes de ser utilizada en las consultas de la base de datos.
El equipo de desarrollo del complemento, Kreatura, fue notificado inmediatamente sobre la falla y rápidamente reconoció el problema.
Menos de 48 horas después del contacto inicial, lanzaron una actualización de seguridad el 27 de marzo de 2024.
Se recomienda encarecidamente a todos los usuarios de LayerSlider que actualicen a la versión 7.10.1, que aborda esta vulnerabilidad crítica.
En resumen, es crucial que los administradores de sitios de WordPress mantengan todos sus complementos actualizados, desactiven aquellos que no sean necesarios, utilicen contraseñas de cuenta fuertes y desactiven las cuentas inactivas que puedan ser objeto de secuestro.
