Was ist CVE-2024-27956?

Eine unauthentifizierte SQL-Injection im WP-Automatic-Plugin (Versionen vor 3.92.1). Der verwundbare Code-Pfad war ein CSV-Import-Handler, der nutzerseitige Daten direkt in eine SQL-Abfrage übergab. Offengelegt im März 2024; Massen-Ausnutzung begann innerhalb von Tagen.

Was haben Angreifer mit der SQLi gemacht?

The most common pattern was: inject SQL to add a new administrator user with a known password, log in, install a backdoor plugin or drop a web shell. WP Automatic's heavy install base on auto-blogging sites meant many of those sites were already neglected.

Warum wurde die Lücke so stark ausgenutzt?

WP Automatic ist ein kostenpflichtiges Plugin, das breit über Code-Marktplätze und Lizenz-Leak-Kanäle verteilt wird. Viele Installationen liefen auf unbeaufsichtigten Auto-Blogging-Seiten, deren Betreiber nie bemerkten, wenn Patches erschienen. Die Kombination aus unauthentifizierter SQLi, sofortiger Admin-Erstellung und einer trägen Zielgruppe ergab eines der lautesten WordPress-Massen-Ausnutzungs-Ereignisse von 2024.

Ich habe noch am Tag der Veröffentlichung auf 3.92.1 aktualisiert. Bin ich sauber?

Possibly — but you still need to check for indicators. The exploit window was narrow on paper but very dense in practice. I routinely see sites that updated within 48 hours but were already compromised.

// CVE-2024-27956 · UNAUTH SQLi · MASSENHAFT AUSGENUTZT

WP Automatic SQL injection cleanup.

An unauthenticated SQL injection in WP Automatic let attackers create administrators and plant backdoors at scale in March 2024. If your site ran an affected version, treat it as compromised. I clean it manually. Flat $279.

Bereinigung starten → Über den Bug

§ 01 — WAS DER BUG WAR

Unauthentifizierte SQLi in einem CSV-Import-Handler.

WP Automatic exponierte einen Endpoint, der CSV-formatierte Daten akzeptierte und nutzerseitig gelieferte Felder ohne Sanitisierung an die WordPress-Datenbank weitergab. Jeder unauthentifizierte Besucher konnte einen Request bauen, der beliebiges SQL ausführte. Betroffene Versionen: vor 3.92.1. Offengelegt am 13. März 2024.

Standard-Angriffsmuster: Zeile in wp_users mit bekanntem Passwort-Hash einfügen; passende wp_usermeta-Zeile mit Administrator-Rolle einfügen; einloggen; Backdoor-Plugin installieren oder eine Web-Shell schreiben.

§ 02 — INDIKATOREN

Was wir damit tun

[ ZUGRIFFSLOG ]
POSTs an wp-content/plugins/wp-automatic/csv.php von externen IPs. Typisch dutzende bis hunderte Requests, manchmal von derselben Handvoll IPs über Wochen.
[ NUTZER ]
Administratoren, die seit März 2024 angelegt wurden und dir unbekannt sind. Häufige Muster: Benutzernamen wie 'admin', 'wpadmin', 'user' mit Wegwerf-E-Mails.
[ PLUGINS ]
Vom neuen Admin-Nutzer installierte Plugins — Datei-Manager-artige Plugins, gefälschte Security-Plugins oder alles, was du nicht selbst installiert hast.
[ WEB-SHELLS ]
Frisches PHP in wp-content/uploads/ und an jedem Nicht-Plugin-Ort. Der CSV.php-Endpoint wurde auch missbraucht, um Shells direkt zu schreiben.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →