CVE-2024-2879 · Unauth SQLi · bundled with themes
LayerSlider SQL injection cleanup.
Unauthentifizierte SQL-Injection in LayerSlider ließ Angreifer Admin-Passwort-Hashes und Session-Secrets abziehen. Am stärksten betroffen: Seiten mit Themes, die LayerSlider gebündelt haben und es nie aktualisiert haben. Pauschal $279 zur Bereinigung.
What the bug was
Nutzereingabe → SQL, keine Authentifizierung.
Eine AJAX-Action in LayerSlider akzeptierte nutzerkontrollierte Eingaben, die in eine SQL-Abfrage konkateniert wurden. Keine Authentifizierung erforderlich. Betroffen: 7.9.11–7.10.0. Gepatcht: 7.10.1, veröffentlicht am 27. März 2024.
Eine SQLi ist hier nicht wegen Datenbank-Modifikation gefährlich, sondern wegen Datenbank-Extraktion — Admin-Passwort-Hashes sind offline knackbar (besonders ältere bcrypt-Kostenfaktoren), und die in wp_options gespeicherten WordPress-AUTH_KEY-Werte erlauben einem Angreifer, Cookies zu fälschen und das Login-Formular komplett zu umgehen.
Indicators
Was wir damit tun
ZUGRIFFSLOG
POSTs an admin-ajax.php mit action=ls_get_popup_markup oder anderen LayerSlider-Actions, die klassische SQLi-Muster enthalten (UNION SELECT, hex-codierte Payloads).
SESSIONS
Admin-Logins von unbekannten IPs ohne passenden wp-login.php-POST im selben Zeitfenster — deutet auf gefälschte Cookies aus geleakten AUTH_KEYs hin.
NUTZER
Neue Admins seit März 2024. Passwortänderungen bei bestehenden Admins, die du nicht vorgenommen hast.
SECRETS-ROTATION
Wenn Schlüssel abgezogen wurden, ist die Rotation von wp-config.php AUTH_KEY/SECURE_AUTH_KEY/LOGGED_IN_KEY/NONCE_KEY zwingend, damit eine Bereinigung dauerhaft hält. Das machen wir standardmäßig.
Preise
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Bereinigung startenMonitoring
$29 / mo
per site, cancel any time
Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.
Schützen lassenPart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Alle Leistungen ansehen →E-Mail [email protected] or use the contact form.