CVE-2024-27956 · Unauth SQLi · mass-exploited
WP Automatic SQL injection cleanup.
An unauthenticated SQL injection in WP Automatic let attackers create administrators and plant backdoors at scale in March 2024. If your site ran an affected version, treat it as compromised. I clean it manually. Flat $279.
What the bug was
Unauthentifizierte SQLi in einem CSV-Import-Handler.
WP Automatic exponierte einen Endpoint, der CSV-formatierte Daten akzeptierte und nutzerseitig gelieferte Felder ohne Sanitisierung an die WordPress-Datenbank weitergab. Jeder unauthentifizierte Besucher konnte einen Request bauen, der beliebiges SQL ausführte. Betroffene Versionen: vor 3.92.1. Offengelegt am 13. März 2024.
Standard-Angriffsmuster: Zeile in wp_users mit bekanntem Passwort-Hash einfügen; passende wp_usermeta-Zeile mit Administrator-Rolle einfügen; einloggen; Backdoor-Plugin installieren oder eine Web-Shell schreiben.
Indicators
Was wir damit tun
Access log
POSTs an wp-content/plugins/wp-automatic/csv.php von externen IPs. Typisch dutzende bis hunderte Requests, manchmal von derselben Handvoll IPs über Wochen.
Nutzer
Administratoren, die seit März 2024 angelegt wurden und dir unbekannt sind. Häufige Muster: Benutzernamen wie 'admin', 'wpadmin', 'user' mit Wegwerf-E-Mails.
Plugins
Vom neuen Admin-Nutzer installierte Plugins — Datei-Manager-artige Plugins, gefälschte Security-Plugins oder alles, was du nicht selbst installiert hast.
Web shells
Frisches PHP in wp-content/uploads/ und an jedem Nicht-Plugin-Ort. Der CSV.php-Endpoint wurde auch missbraucht, um Shells direkt zu schreiben.
Preise
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Bereinigung startenMonitoring
$29 / mo
per site, cancel any time
Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.
Schützen lassenPart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Alle Leistungen ansehen →E-Mail [email protected] or use the contact form.