¿Qué es CVE-2024-2879?

Una inyección SQL no autenticada en el plugin LayerSlider (versiones 7.9.11 a 7.10.0). El parámetro vulnerable circulaba a través de un endpoint AJAX sin saneamiento adecuado. Divulgada en marzo de 2024. Parcheada en 7.10.1.

¿Por qué LayerSlider fue tan importante?

LayerSlider ships bundled with a large number of premium WordPress themes. Many site owners don't realise they have it installed at all because they bought it as part of a theme package and never touched it. That meant a long tail of un-updated installs after the patch landed.

¿Qué podría hacer un atacante con SQLi aquí?

Extraer hashes de contraseñas de administrador, claves de sesión y cualquier otro contenido de la base de datos. Con un hash de contraseña podían intentar cracking offline; con los secrets de wp_options podían forjar sesiones. Después, sigue el patrón estándar de RCE en WordPress.

I don't even use LayerSlider — why is it on my site?

It's commonly bundled into multi-purpose themes (Avada, Salient, Bridge, and many others) as a 'free' add-on. Themes ship a copy that has to be updated separately from the WordPress.org repo, and that update lag is exactly what gets exploited.

// CVE-2024-2879 · SQLi NO AUTENTICADO · EMPAQUETADO CON TEMAS

LayerSlider SQL injection cleanup.

Una inyección SQL no autenticada en LayerSlider permitía a los atacantes extraer hashes de contraseñas de admin y secrets de sesión. Mayor impacto: sitios con temas que empaquetan LayerSlider y nunca lo actualizaron. Tarifa plana $279 para limpiar.

Iniciar limpieza → Sobre el bug

§ 01 — EN QUÉ CONSISTÍA EL BUG

Entrada de usuario → SQL, sin autenticación.

Una acción AJAX en LayerSlider aceptaba entrada controlada por el usuario que se concatenaba dentro de una consulta SQL. Sin necesidad de autenticación. Afectadas: 7.9.11–7.10.0. Parche: 7.10.1, publicado el 27 de marzo de 2024.

Una SQLi aquí es peligrosa no por la modificación de la base de datos sino por la extracción — los hashes de contraseñas de admin son crackeables offline (sobre todo con cost factors de bcrypt antiguos), y los valores AUTH_KEY de WordPress almacenados en wp_options permiten a un atacante forjar cookies y saltarse el formulario de login por completo.

§ 02 — INDICADORES

Qué hacemos con ello

[ ACCESS LOG ]
POSTs a admin-ajax.php con action=ls_get_popup_markup u otras acciones de LayerSlider, conteniendo patrones clásicos de SQLi (UNION SELECT, payloads codificados en hex).
[ SESIONES ]
Logins de admin desde IPs desconocidas que no tienen un POST coincidente a wp-login.php en la misma ventana — sugiere cookies forjadas a partir de AUTH_KEYs filtradas.
[ USUARIOS ]
Nuevos admins creados desde marzo de 2024. Cambios de contraseña en admins existentes que tú no hiciste.
[ ROTACIÓN DE SECRETS ]
Si se exfiltraron claves, rotar AUTH_KEY/SECURE_AUTH_KEY/LOGGED_IN_KEY/NONCE_KEY en wp-config.php es obligatorio antes de que cualquier limpieza sea duradera. Lo hacemos por defecto.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →