该漏洞的编号是CVE-2024-2879，CVSS评分为9.8，为SQL注入漏洞，影响7.9.11至7.10.0版本。该漏洞已在3月27日发布的7.10.1中修复，维护人员提到，“更新包括重要的安全修复方案”。

LaySlider 是一款可视化 web 内容编辑器、图形设计软件和数字化可视化软件，可允许用户为网站创建动画和富内容，该插件“全球拥有数百万名用户”。该漏洞是因为对用户提供参数的逃逸不充分以及缺少 wpdb::prepare()，可导致未认证攻击者附加额外的SQL查询并提取敏感信息。

最初，研究员在 WP-Members Membership插件中发现了未认证的存储型XSS漏洞（CVE-2024-1852，CVSS 7.2），可用于执行任意 JavaScript代码，已在版本3.4.9.3中修复。

该漏洞是因为输入清理和输出逃逸不充分导致的，“未认证攻击者可在页面中注入任意 web 脚本，不管用户何时访问被注入的页面，这些脚本都会执行”。如代码在管理员的浏览会话上下文中执行，则可用于创建恶意用户账户、将站点访客重定向到其它恶意站带你并执行其它攻击。

过去几周来，其它 WordPress 插件中也发现了多个漏洞如 Tutor LMS（CVE-2024-1751，CVSS 8.8）以及Contact Form Entries（CVE-2024-2030，CVSS 6.4），它们分别可被用于泄露信息和注入任意 web 脚本。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~