threatover Patrik Grobshäuser

CVE-2024-2879 · Unauth SQLi · bundled with themes

LayerSlider SQL injection cleanup.

Unauthentifizierte SQL-Injection in LayerSlider ließ Angreifer Admin-Passwort-Hashes und Session-Secrets abziehen. Am stärksten betroffen: Seiten mit Themes, die LayerSlider gebündelt haben und es nie aktualisiert haben. Pauschal $279 zur Bereinigung.

What the bug was

Nutzereingabe → SQL, keine Authentifizierung.

Eine AJAX-Action in LayerSlider akzeptierte nutzerkontrollierte Eingaben, die in eine SQL-Abfrage konkateniert wurden. Keine Authentifizierung erforderlich. Betroffen: 7.9.11–7.10.0. Gepatcht: 7.10.1, veröffentlicht am 27. März 2024.

Eine SQLi ist hier nicht wegen Datenbank-Modifikation gefährlich, sondern wegen Datenbank-Extraktion — Admin-Passwort-Hashes sind offline knackbar (besonders ältere bcrypt-Kostenfaktoren), und die in wp_options gespeicherten WordPress-AUTH_KEY-Werte erlauben einem Angreifer, Cookies zu fälschen und das Login-Formular komplett zu umgehen.

Indicators

Was wir damit tun

  • ZUGRIFFSLOG

    POSTs an admin-ajax.php mit action=ls_get_popup_markup oder anderen LayerSlider-Actions, die klassische SQLi-Muster enthalten (UNION SELECT, hex-codierte Payloads).

  • SESSIONS

    Admin-Logins von unbekannten IPs ohne passenden wp-login.php-POST im selben Zeitfenster — deutet auf gefälschte Cookies aus geleakten AUTH_KEYs hin.

  • NUTZER

    Neue Admins seit März 2024. Passwortänderungen bei bestehenden Admins, die du nicht vorgenommen hast.

  • SECRETS-ROTATION

    Wenn Schlüssel abgezogen wurden, ist die Rotation von wp-config.php AUTH_KEY/SECURE_AUTH_KEY/LOGGED_IN_KEY/NONCE_KEY zwingend, damit eine Bereinigung dauerhaft hält. Das machen wir standardmäßig.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.