threatover Patrik Grobshäuser

CVE-2024-27956 · Unauth SQLi · mass-exploited

WP Automatic SQL injection cleanup.

An unauthenticated SQL injection in WP Automatic let attackers create administrators and plant backdoors at scale in March 2024. If your site ran an affected version, treat it as compromised. I clean it manually. Flat $279.

What the bug was

Unauthentifizierte SQLi in einem CSV-Import-Handler.

WP Automatic exponierte einen Endpoint, der CSV-formatierte Daten akzeptierte und nutzerseitig gelieferte Felder ohne Sanitisierung an die WordPress-Datenbank weitergab. Jeder unauthentifizierte Besucher konnte einen Request bauen, der beliebiges SQL ausführte. Betroffene Versionen: vor 3.92.1. Offengelegt am 13. März 2024.

Standard-Angriffsmuster: Zeile in wp_users mit bekanntem Passwort-Hash einfügen; passende wp_usermeta-Zeile mit Administrator-Rolle einfügen; einloggen; Backdoor-Plugin installieren oder eine Web-Shell schreiben.

Indicators

Was wir damit tun

  • Access log

    POSTs an wp-content/plugins/wp-automatic/csv.php von externen IPs. Typisch dutzende bis hunderte Requests, manchmal von derselben Handvoll IPs über Wochen.

  • Nutzer

    Administratoren, die seit März 2024 angelegt wurden und dir unbekannt sind. Häufige Muster: Benutzernamen wie 'admin', 'wpadmin', 'user' mit Wegwerf-E-Mails.

  • Plugins

    Vom neuen Admin-Nutzer installierte Plugins — Datei-Manager-artige Plugins, gefälschte Security-Plugins oder alles, was du nicht selbst installiert hast.

  • Web shells

    Frisches PHP in wp-content/uploads/ und an jedem Nicht-Plugin-Ort. Der CSV.php-Endpoint wurde auch missbraucht, um Shells direkt zu schreiben.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.