CVE-2024-27956 · Unauth SQLi · mass-exploited
WP Automatic SQL injection cleanup.
An unauthenticated SQL injection in WP Automatic let attackers create administrators and plant backdoors at scale in March 2024. If your site ran an affected version, treat it as compromised. I clean it manually. Flat $279.
What the bug was
SQLi no autenticada en un handler de importación CSV.
WP Automatic exponía un endpoint que aceptaba datos en formato CSV y pasaba los campos suministrados por el usuario a la base de datos de WordPress sin saneamiento. Cualquier visitante no autenticado podía construir una petición que ejecutara SQL arbitrario. Versiones afectadas: anteriores a 3.92.1. Divulgado el 13 de marzo de 2024.
Patrón de ataque estándar: insertar una fila en wp_users con un hash de contraseña conocido; insertar una fila correspondiente en wp_usermeta concediendo el rol de administrador; iniciar sesión; instalar un plugin backdoor o escribir un web shell.
Indicators
Qué hacemos con ello
Access log
POSTs a wp-content/plugins/wp-automatic/csv.php desde IPs externas. Normalmente decenas a cientos de peticiones, a veces desde el mismo puñado de IPs durante semanas.
Usuarios
Administradores creados desde marzo de 2024 que no reconoces. Patrones comunes: nombres de usuario como 'admin', 'wpadmin', 'user' con emails desechables.
Plugins
Plugins instalados por el nuevo usuario admin — plugins tipo file-manager, plugins de seguridad falsos o cualquier cosa que tú no instalaras.
Web shells
PHP recién creado en wp-content/uploads/ y cualquier ubicación que no sea de plugin. El endpoint CSV.php también se abusó para escribir shells directamente.
Precios
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Iniciar limpiezaMonitoring
$29 / mo
per site, cancel any time
Monitorización continua, endurecimiento, una limpieza al año incluida.
ProtégetePart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Ver todos los servicios →Correo [email protected] or use the contact form.