threatover Patrik Grobshäuser

CVE-2024-2879 · Unauth SQLi · bundled with themes

LayerSlider SQL injection cleanup.

Una inyección SQL no autenticada en LayerSlider permitía a los atacantes extraer hashes de contraseñas de admin y secrets de sesión. Mayor impacto: sitios con temas que empaquetan LayerSlider y nunca lo actualizaron. Tarifa plana $279 para limpiar.

What the bug was

Entrada de usuario → SQL, sin autenticación.

Una acción AJAX en LayerSlider aceptaba entrada controlada por el usuario que se concatenaba dentro de una consulta SQL. Sin necesidad de autenticación. Afectadas: 7.9.11–7.10.0. Parche: 7.10.1, publicado el 27 de marzo de 2024.

Una SQLi aquí es peligrosa no por la modificación de la base de datos sino por la extracción — los hashes de contraseñas de admin son crackeables offline (sobre todo con cost factors de bcrypt antiguos), y los valores AUTH_KEY de WordPress almacenados en wp_options permiten a un atacante forjar cookies y saltarse el formulario de login por completo.

Indicators

Qué hacemos con ello

  • ACCESS LOG

    POSTs a admin-ajax.php con action=ls_get_popup_markup u otras acciones de LayerSlider, conteniendo patrones clásicos de SQLi (UNION SELECT, payloads codificados en hex).

  • SESIONES

    Logins de admin desde IPs desconocidas que no tienen un POST coincidente a wp-login.php en la misma ventana — sugiere cookies forjadas a partir de AUTH_KEYs filtradas.

  • USUARIOS

    Nuevos admins creados desde marzo de 2024. Cambios de contraseña en admins existentes que tú no hiciste.

  • ROTACIÓN DE SECRETS

    Si se exfiltraron claves, rotar AUTH_KEY/SECURE_AUTH_KEY/LOGGED_IN_KEY/NONCE_KEY en wp-config.php es obligatorio antes de que cualquier limpieza sea duradera. Lo hacemos por defecto.

Precios

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza

Monitoring

$29 / mo

per site, cancel any time

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Correo [email protected] or use the contact form.