webページにスライダーをセットしているサイトは結構多いのですが、同時に脆弱性が発見されやすいのも、スライダーのプラグインです。

JVNによると、３種類のスライダーに、脆弱性が報告されています。

いずれの脆弱性も、SQLインジェクションに関するもの。

NVD値は6.5、CVSS v3による深刻度は8.8です。

基本値: 6.5 (警告) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃前の認証要否: 単一
機密性への影響(C): 部分的
完全性への影響(I): 部分的
可用性への影響(A): 部分的

[参考] CVSS v3 による深刻度
基本値: 8.8 (重要) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃に必要な特権レベル: 低
利用者の関与: 不要
影響の想定範囲: 変更なし
機密性への影響(C): 高
完全性への影響(I): 高
可用性への影響(A): 高

さて、その中でも比較的利用者数が多いとみられるプラグインが、Smooth Sliderです。

日本語での紹介記事も幾つか。

—-以下引用—-

レスポンシブなコンテンツスライダー／WPプラグイン「Smooth Slider」（楽々WordPressプラグイン）

<主な特徴＞

• レスポンシブデザイン
• ６つのアニメーション効果
• テンプレートタグ、ショートコード、ウイジェットで利用
• 管理画面でプレビューが確認できる
• 管理画面で設定できる
• HTMLやCSSの知識はあまり必要ない

こちらのスライダープラグインは、【レスポンシブ】に対応しており、投稿した記事の画像と本文付きのコンテンツスライダーを簡単に実装出来るプラグインとなっています。
その他にもカテゴリー別・画像のみのスライドも管理なども出来ます。

スライドショーの設定も管理画面から細かく出来ますので、自分好みのスライド作成だって出来ます。

—-引用おわり—-

SQLインジェクションの脆弱性は、ツールによる攻撃が容易に可能なので、攻撃を受ける可能性が非常に高い脆弱性の一つです。

Smooth Slider 2.8.6 までのバージョンには脆弱性が存在しますので、最新版である2.8.7にアップデートをオススメいたします。

参考：http://www.defensecode.com/advisories/DC-2018-01-004_WordPress_Smooth_Slider_Plugin_Advisory.pdf