A.Awad

Nome do software vulnerável e versões afetadas: Plugin LayerSlider para WordPress, versões 7.9.11 a 7.10.0 Descrição: O plugin LayerSlider para WordPress está vulnerável a injeção de SQL por meio da ação `ls get popup markup`, devido à falta de escapamento adequado no parâmetro `id` fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente. Isso permite que invasores não autenticados anexem consultas SQL adicionais a consultas já existentes, que podem ser usadas para extrair informações confidenciais do banco de dados, como hashes de senhas. O número estimado de dispositivos potencialmente afetados em todo o mundo é superior a 1 milhão. Recomendações: Para as versões 7.9.11 a 7.10.0, atualize para a versão 7.10.1 ou mais recente para resolver o problema. Como solução alternativa temporária, considere desativar a ação `ls get popup markup` até que um patch esteja disponível. Restrinja o acesso ao parâmetro `id` vulnerável no endpoint da API afetado até que o problema seja resolvido. Evite usar o parâmetro `id` no endpoint da API afetado até que o problema seja resolvido.