Sicherheitslücke im Wordpress LayerSlider Plugin betrifft Millionen Seiten

Am 2.4.24 wurde eine kritische Sicherheitslücke im beliebten LayerSlider Plugin für WordPress bekannt, die unauthentifizierte SQL-Injection-Angriffe ermöglicht und daher besonders gefährlich ist. Betroffen sind die Versionen 7.9.11 bis 7.10.0 des Plugins. Die Schwachstelle, gekennzeichnet mit der CVE-ID CVE-2024-2879, erhielt einen kritischen CVSS-Score von 9,8 / 10. Das Layerslider Plugin ist weit verbreitet und wird in Millionen von Webseiten benutzt.

Die Sicherheitslücke entsteht durch unzureichende Maskierung spezieller Elemente in einem SQL-Befehl und ungenügende Vorbereitung der vorhandenen SQL-Abfrage, was es Angreifern ermöglicht, zusätzliche SQL-Abfragen in bestehende Abfragen einzuschleusen und potenziell sensible Informationen aus der Datenbank zu extrahieren.

Nutzer des LayerSlider Plugins werden dringend aufgefordert, auf die gepatchte Version 7.10.1 oder eine neuere Version zu aktualisieren, um sich vor möglichen Angriffen zu schützen. Weitere Informationen und Updates finden sich auf der offiziellen Website von LayerSlider.

Related Posts

Hacker pflanzten Backdoor in Linux Core: XZ Utils erlaubt SSH Zugriff

Alarmstufe Rot in der Linux Welt: am 29. März 2024 informierte Andres Freund, ein Entwickler bei PostgreSQL, über eine Backdoor in XZ Utils, die unbefugten SSH-Zugriff ermöglichen kann. XZ Utils, insbesondere die liblzma-Komponente, ist ein essenzielles Werkzeug für die Datenkompression unter Linux, vergleichbar mit gzip und bzip2. Die Entdeckung erfolgte, als Freund ungewöhnliche Symptome in Verbindung mit liblzma auf Debian-Installationen bemerkte, einschließlich hoher CPU-Auslastung und Fehlern beim Login über SSH.

Read More

Wall-Escape Schwachstelle in Linux erlaubt Zugriff auf Konten anderer

Die am 27.3.24 veröffentlichte Schwachstelle CVE-2024-28085, genannt “Wall-Escape” ermöglicht es nicht privilegierten Benutzern, willkürlichen Text auf den Terminals anderer Benutzer anzuzeigen, sofern bestimmte Bedingungen erfüllt sind. die Schwachstelle betrifft den wall Befehl von util-linux, der es versäumt, Escape-Sequenzen aus Kommandozeilenargumenten zu filtern. Der Fehler ist in allen Versionen seit einem Commit aus dem Jahr 2013 vorhanden und lässt sich bereits über ein Proof-of-Concept ausnutzen.

Read More

AI Package Hallucination Angriffe nehmen zu

ChatGPT und Co. erfinden oft Software Dependencies die gar nicht existieren - Hacker nehmen diese Einladung dankend an und programmieren diese nach, incl. Malware Backdoor. Das Problem basiert auf sog. “AI Package Hallucination” und betrifft LLMs wie ChatGPT, die auf Grund Ihrer Art zu antworten oft auch ursprünglich nicht existierende Softwarepakete empfehlen. Ein Bericht von Lasso Security zeigt, dass teilweise 30 Tausend Downloads auf ein hallzuniertes Software Paket (huggingface-cli statt huggingface-hub) existierten, das es so nie hätte geben dürfen.

Read More