Was ist CVE-2024-2879?

Eine unauthentifizierte SQL-Injection im LayerSlider-Plugin (Versionen 7.9.11 bis 7.10.0). Der verwundbare Parameter floss über einen AJAX-Endpoint ohne saubere Sanitisierung. Offengelegt im März 2024. Gepatcht in 7.10.1.

Warum war LayerSlider so brisant?

LayerSlider ships bundled with a large number of premium WordPress themes. Many site owners don't realise they have it installed at all because they bought it as part of a theme package and never touched it. That meant a long tail of un-updated installs after the patch landed.

Was könnte ein Angreifer mit der SQLi hier anrichten?

Administrator-Passwort-Hashes, Session-Schlüssel und beliebige andere Datenbankinhalte extrahieren. Mit einem Passwort-Hash können sie offline Cracking versuchen; mit den Secret Keys aus wp_options können sie Sessions fälschen. Danach folgt das übliche WordPress-RCE-Muster.

I don't even use LayerSlider — why is it on my site?

It's commonly bundled into multi-purpose themes (Avada, Salient, Bridge, and many others) as a 'free' add-on. Themes ship a copy that has to be updated separately from the WordPress.org repo, and that update lag is exactly what gets exploited.

// CVE-2024-2879 · UNAUTH SQLi · MIT THEMES GEBÜNDELT

LayerSlider SQL injection cleanup.

Unauthentifizierte SQL-Injection in LayerSlider ließ Angreifer Admin-Passwort-Hashes und Session-Secrets abziehen. Am stärksten betroffen: Seiten mit Themes, die LayerSlider gebündelt haben und es nie aktualisiert haben. Pauschal $279 zur Bereinigung.

Bereinigung starten → Über den Bug

§ 01 — WAS DER BUG WAR

Nutzereingabe → SQL, keine Authentifizierung.

Eine AJAX-Action in LayerSlider akzeptierte nutzerkontrollierte Eingaben, die in eine SQL-Abfrage konkateniert wurden. Keine Authentifizierung erforderlich. Betroffen: 7.9.11–7.10.0. Gepatcht: 7.10.1, veröffentlicht am 27. März 2024.

Eine SQLi ist hier nicht wegen Datenbank-Modifikation gefährlich, sondern wegen Datenbank-Extraktion — Admin-Passwort-Hashes sind offline knackbar (besonders ältere bcrypt-Kostenfaktoren), und die in wp_options gespeicherten WordPress-AUTH_KEY-Werte erlauben einem Angreifer, Cookies zu fälschen und das Login-Formular komplett zu umgehen.

§ 02 — INDIKATOREN

Was wir damit tun

[ ZUGRIFFSLOG ]
POSTs an admin-ajax.php mit action=ls_get_popup_markup oder anderen LayerSlider-Actions, die klassische SQLi-Muster enthalten (UNION SELECT, hex-codierte Payloads).
[ SESSIONS ]
Admin-Logins von unbekannten IPs ohne passenden wp-login.php-POST im selben Zeitfenster — deutet auf gefälschte Cookies aus geleakten AUTH_KEYs hin.
[ NUTZER ]
Neue Admins seit März 2024. Passwortänderungen bei bestehenden Admins, die du nicht vorgenommen hast.
[ SECRETS-ROTATION ]
Wenn Schlüssel abgezogen wurden, ist die Rotation von wp-config.php AUTH_KEY/SECURE_AUTH_KEY/LOGGED_IN_KEY/NONCE_KEY zwingend, damit eine Bereinigung dauerhaft hält. Das machen wir standardmäßig.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →