LayerSlider 是一款可视化 web 内容编辑器、图形设计软件和数字化可视化软件，可允许用户为网站创建动画和富内容，该插件全球拥有数百万名用户。

漏洞详情
WordPress LayerSlider 插件存在SQL注入漏洞(CVE-2024-2879)，在版本7.9.11–7.10.0中，由于对用户提供的参数转义不充分以及缺少wpdb::prepare()，可能导致通过 ls_get_popup_markup 操作受到SQL注入攻击，未经身份验证的威胁者可利用该漏洞从数据库中获取敏感信息。

影响范围
LayerSlider插件版本7.9.11–7.10.0

漏洞复现


修复建议
厂商已发布漏洞修复版本，请根据厂商修复建议进行修复。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://www.wordfence.com/blog/2024/04/5500-bounty-awarded-for-unauthenticated-sql-injection-vulnerability-patched-in-layerslider-wordpress-plugin/
https://www.wordfence.com/blog/2024/04/unauthenticated-stored-cross-site-scripting-vulnerability-patched-in-wp-members-membership-plugin-500-bounty-awarded/