热门Wordpress 插件 LayerSlider 中存在严重漏洞

于 2024-04-03 16:51:17 发布
阅读量157 收藏
点赞数
文章标签: 网络
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519223&idx=2&sn=a927e2b6bd81218102ea07e2de3133d7&chksm=eb9f1ea5683eeda00d3c9bb05d05bf4beea9b6aa296e9a4b1c430c1d1dd68dc00191e52bd9e4&scene=126&sessionid=0
版权

e3ffb3188bb5277f9acf85e38267cc54.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

WordPress 插件 LayerSlider 中存在一个严重漏洞,可被滥用于提取数据库中的敏感信息如密码哈希。

该漏洞的编号是CVE-2024-2879,CVSS评分为9.8,为SQL注入漏洞,影响7.9.11至7.10.0版本。该漏洞已在3月27日发布的7.10.1中修复,维护人员提到,“更新包括重要的安全修复方案”。

LaySlider 是一款可视化 web 内容编辑器、图形设计软件和数字化可视化软件,可允许用户为网站创建动画和富内容,该插件“全球拥有数百万名用户”。该漏洞是因为对用户提供参数的逃逸不充分以及缺少 wpdb::prepare(),可导致未认证攻击者附加额外的SQL查询并提取敏感信息。

最初,研究员在 WP-Members Membership插件中发现了未认证的存储型XSS漏洞(CVE-2024-1852,CVSS 7.2),可用于执行任意 JavaScript代码,已在版本3.4.9.3中修复。

该漏洞是因为输入清理和输出逃逸不充分导致的,“未认证攻击者可在页面中注入任意 web 脚本,不管用户何时访问被注入的页面,这些脚本都会执行”。如代码在管理员的浏览会话上下文中执行,则可用于创建恶意用户账户、将站点访客重定向到其它恶意站带你并执行其它攻击。

过去几周来,其它 WordPress 插件中也发现了多个漏洞如 Tutor LMS(CVE-2024-1751,CVSS 8.8)以及Contact Form Entries(CVE-2024-2030,CVSS 6.4),它们分别可被用于泄露信息和注入任意 web 脚本。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

热门 WordPress 插件 Ultimate Member 中存在严重漏洞

WordPress 插件 LiteSpeed 漏洞影响500万个站点

备份插件存在严重RCE漏洞,可导致WordPress网站遭接管

黑客利用WordPress 插件中的提权0day攻陷网站

WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞

原文链接

https://thehackernews.com/2024/04/critical-security-flaw-found-in-popular.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

3a061273ac048d98d511142fd24d214d.jpeg

8aadbd6f32e93be7ac50f978769b1e6b.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   5ca57a48f174c18237975975cff651be.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LayerSlider带动画效果幻灯片
04-07
LayerSlider带动画效果幻灯片,切换幻灯片时文字和图片会慢慢从各个方向移动到当前的幻灯片,兼容主流浏览器。
WordPress LayerSlider插件SQL注入漏洞复现(CVE-2024-2879
最新发布
qq_39894062的博客
04-12 778
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
JBoss 漏洞复现
m0_43397796的博客
03-02 4015
JBoss 漏洞复现 CVE-2017-12149 JBoss AS 5.X/6.X反序列化漏洞 漏洞扫描 试验地址:https://www.hetianlab.com/expc.do?w=exp_ass&ec=ECIDb56f-ab5c-4e92-840f-d59299ec273f 由于实验指导书上的ip有错误,所以先nmap扫描一下ipnmap -sn 10.1.1.0/24 发现4个ip 全端口扫描nmap -p- -sV -T4 10.1.1.254 10.1.1.135 10.1.1.9
layui layer诡异bug记录
与其用泪水悔恨昨天,不如用汗水拼搏今天
04-23 5515
1.新版本的layui使用table,最后一列工具栏会出现闪烁,重绘,测试发现我19年就没有这个bug,这个bug是后期引入的,看了很多更新记录,说后面会解决这个bug,但是没看到解决的结果,直到layui停止维护都没解决,但是实际上早期是不存在此bug的,解决办法: <script src="~/Scripts/Library/layui/layui.js?ver=2.6.8"></script> <!-- 引入 layui.js --> <scrip
layui入门
m0_68879220的博客
04-22 1608
1.什么是layui layui(谐音:类 UI) 是一套开源的 Web UI 解决方案,采用自身经典的模块化规范,并遵循原生 HTML/CSS/JS 的开发方式,极易上手,拿来即用。其风格简约轻盈,而组件优雅丰盈,从源代码到使用方法的每一处细节都经过精心雕琢,非常适合网页界面的快速开发。layui 区别于那些基于 MVVM 底层的前端框架,却并非逆道而行,而是信奉返璞归真之道。准确地说,它更多是面向后端开发者,你无需涉足前端各种工具,只需面对浏览器本身,让一切你所需要的元素与交...
wordpress插件LayerSlider(汉化版)
06-14
**WordPress 插件 LayerSlider 汉化版详解** LayerSlider 是一款强大的WordPress插件,专为网站构建高质量的滑块、幻灯片和图像层效果。它以其丰富的功能、直观的用户界面以及对响应式设计的良好支持而受到广泛赞誉...
wordpress的幻灯片插件 LayerSlider 文汉化版
07-11
LayerSliderWordPress平台上的一个非常流行的幻灯片插件,以其强大的功能和用户友好的界面深受网站管理员喜爱。这个插件允许用户创建引人注目的滑块,包括图像、视频和自定义内容,适用于各种用途,如首页展示、...
wordpress插件LayerSlider汉化版
05-03
在实际应用LayerSlider与其他WordPress插件和主题有良好的兼容性,可以与 WooCommerce 等电商插件配合,展示产品;也可以与 Visual Composer 等页面构建器结合,丰富页面内容。此外,插件还支持自定义CSS和...
LayerSlider5.6.9_WordPress_LayerSlider_
10-03
LayerSlider文版是一个少见的视差幻灯片wordpress插件,视差幻灯片给人一种3D的感觉,把普通的幻灯片变成具有层次感的幻灯片,而这并不是通过FLASH来实现的,而是DIV+CSS,更利用搜索引擎收录,更容易修改。...
LayerSlider WordPress插件5.3.2汉化包
12-01
WordPressLayerSlider不仅仅是一个简单的幻灯片插件,它提供了丰富的自定义选项和动画效果,让网站内容呈现更加生动有趣。用户可以通过拖放界面轻松创建和编辑滑块,添加图像、视频、文字和其他元素。视差效果...
js LayerSlider带动画效果的焦点图代码,切换幻灯片时文字和图片会慢慢从各个方向移动到当前的幻灯片,兼容主流浏览器
05-23
js LayerSlider带动画效果的焦点图代码,切换幻灯片时文字和图片会慢慢从各个方向移动到当前的幻灯片,兼容主流浏览器
LayerSlider带动画效果幻灯片.zip
07-05
LayerSlider带动画效果幻灯片,切换幻灯片时文字和图片会慢慢从各个方向移动到当前的幻灯片,兼容主流浏览器。
LayerSlider 6.5.7; 响应WordPress的滑块插件
02-07
LayerSlider WordPress插件功能 超级流畅的硬件加速CSS3转换与jQuery后备 充分响应和多个布局支持 与旧浏览器的许多后备功能兼容性高 延迟加载图像以获得更好的性能 无限数量的图层,视频,音频,文本或自定义HTML内容 强大的API更多的定制 SEO友好 多个滑块可以添加在同一页面上 包括免费幻灯片转换画廊 非常详细的文档与例子 使用的无限变化(图像滑块,带有文本的图像滑块,内容滑块,视频库滑块,混合内容滑块,横幅旋转器,旋转木马等)
LayerSlider 完整汉化 4.6.0
10-10
LayerSlider 完整汉化 4.6.0
tp5+layui后台基础框架.zip
05-27
最新版本下载地址https://github.com/taoyonbin/php-layui-admin 基本的后台管理框架系统,可以在该基础上进行二次开发,也可以自行改装,内置权限管理/菜单管理/角色管理/管理员管理/系统信息/管理员信息修改/图片上传。 需要注意点:1端口设置,xampp版本没有测过,之前出现版本问题也会导致运行不了 2.数据库的名字和配置文件的名字 3.图片的端口地址
如何使用适用于WordPressLayerSlider插件创建交互式滑块
代码教主
06-22 1881
现代网站必须具有视觉吸引力,才能吸引并留住观众。 无论您是经营企业还是仅将网站用作博客,都需要为受众提供诱人的视觉内容。 仅仅将图像放入网站页面是不够的。 人们现在已经习惯于以更具结构性和吸引力的方式查看图像和视频。 这就是WordPress滑块插件出现的地方。 滑块用于以幻灯片格式显示内容。 它们使您可以创建和自定义自己的幻灯片,并将其放置在网站上的任何位置。 WordPr...
#笔记(三十一)JavaScript漏洞小结
vircorns的博客
02-23 333
token主要作用 防止表单重复提交 用来作身份验证 比较厉害的文章:转载原博客 前台后台 面向对象不同 前台是面向网站访问用户的,通俗的说也就是给访问网站的人看的内容和页面。 后台主要是用于对网站前台的信息管理,如文字、图片、影音、和其他日常使用文件的发布、更新、删除等操作,同时也包括会员信息、订单信息、访客信息的统计和管理。简单来说就是对网站数据库和文件的快速操作和管理系统,以使得前台...
强大的响应jQuery滑块插件LayerSlider
zzzkk2009的专栏
06-18 3874
摘要: LayerSlider jQuery插件的特点:        在线演示      LayerSlider jQuery插件的特点: 超过200个令人惊叹的3D&2D加速的过渡效果!过渡画廊和选项来创建自己的自定义转换!5种显示模式(正常,反应灵敏,全宽,全宽+响应,全宽+下的响应。智能大小调整和重新定位,图像,视频
LAYERSLIDER 5插件源码破解
weixin_34252686的博客
10-25 503
functionlsShowNotice(e,t,n){ varr; if(typeofe=="string"){ r=jQuery("#"+e) }elseif(typeofe=="object"){ r=e } vari,s; switch(t){ case"jquery": i="mu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值