CVE-2024-2879 · Unauth SQLi · bundled with themes
LayerSlider SQL injection cleanup.
Una inyección SQL no autenticada en LayerSlider permitía a los atacantes extraer hashes de contraseñas de admin y secrets de sesión. Mayor impacto: sitios con temas que empaquetan LayerSlider y nunca lo actualizaron. Tarifa plana $279 para limpiar.
What the bug was
Entrada de usuario → SQL, sin autenticación.
Una acción AJAX en LayerSlider aceptaba entrada controlada por el usuario que se concatenaba dentro de una consulta SQL. Sin necesidad de autenticación. Afectadas: 7.9.11–7.10.0. Parche: 7.10.1, publicado el 27 de marzo de 2024.
Una SQLi aquí es peligrosa no por la modificación de la base de datos sino por la extracción — los hashes de contraseñas de admin son crackeables offline (sobre todo con cost factors de bcrypt antiguos), y los valores AUTH_KEY de WordPress almacenados en wp_options permiten a un atacante forjar cookies y saltarse el formulario de login por completo.
Indicators
Qué hacemos con ello
ACCESS LOG
POSTs a admin-ajax.php con action=ls_get_popup_markup u otras acciones de LayerSlider, conteniendo patrones clásicos de SQLi (UNION SELECT, payloads codificados en hex).
SESIONES
Logins de admin desde IPs desconocidas que no tienen un POST coincidente a wp-login.php en la misma ventana — sugiere cookies forjadas a partir de AUTH_KEYs filtradas.
USUARIOS
Nuevos admins creados desde marzo de 2024. Cambios de contraseña en admins existentes que tú no hiciste.
ROTACIÓN DE SECRETS
Si se exfiltraron claves, rotar AUTH_KEY/SECURE_AUTH_KEY/LOGGED_IN_KEY/NONCE_KEY en wp-config.php es obligatorio antes de que cualquier limpieza sea duradera. Lo hacemos por defecto.
Precios
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Iniciar limpiezaMonitoring
$29 / mo
per site, cancel any time
Monitorización continua, endurecimiento, una limpieza al año incluida.
ProtégetePart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Ver todos los servicios →Correo [email protected] or use the contact form.