¿Qué es CVE-2024-27956?

Una inyección SQL no autenticada en el plugin WP Automatic (versiones anteriores a 3.92.1). La ruta de código vulnerable era un handler de importación CSV que pasaba datos suministrados por el usuario directamente a una consulta SQL. Divulgada en marzo de 2024; la explotación masiva empezó en pocos días.

¿Qué hicieron los atacantes con la SQLi?

The most common pattern was: inject SQL to add a new administrator user with a known password, log in, install a backdoor plugin or drop a web shell. WP Automatic's heavy install base on auto-blogging sites meant many of those sites were already neglected.

¿Por qué se explotó tanto?

WP Automatic es un plugin de pago distribuido ampliamente a través de code-marketplaces y canales de filtración de licencias. Muchas instalaciones estaban en sitios de auto-blogging sin supervisión cuyos propietarios nunca se enteraban de cuándo llegaban los parches. La combinación de SQLi no autenticada, creación instantánea de admin y una audiencia desatendida produjo uno de los eventos de explotación masiva de WordPress más ruidosos de 2024.

Actualicé a 3.92.1 el día que salió. ¿Estoy limpio?

Possibly — but you still need to check for indicators. The exploit window was narrow on paper but very dense in practice. I routinely see sites that updated within 48 hours but were already compromised.

// CVE-2024-27956 · SQLi NO AUTENTICADO · EXPLOTADO EN MASA

WP Automatic SQL injection cleanup.

An unauthenticated SQL injection in WP Automatic let attackers create administrators and plant backdoors at scale in March 2024. If your site ran an affected version, treat it as compromised. I clean it manually. Flat $279.

Iniciar limpieza → Sobre el bug

§ 01 — EN QUÉ CONSISTÍA EL BUG

SQLi no autenticada en un handler de importación CSV.

WP Automatic exponía un endpoint que aceptaba datos en formato CSV y pasaba los campos suministrados por el usuario a la base de datos de WordPress sin saneamiento. Cualquier visitante no autenticado podía construir una petición que ejecutara SQL arbitrario. Versiones afectadas: anteriores a 3.92.1. Divulgado el 13 de marzo de 2024.

Patrón de ataque estándar: insertar una fila en wp_users con un hash de contraseña conocido; insertar una fila correspondiente en wp_usermeta concediendo el rol de administrador; iniciar sesión; instalar un plugin backdoor o escribir un web shell.

§ 02 — INDICADORES

Qué hacemos con ello

[ ACCESS LOG ]
POSTs a wp-content/plugins/wp-automatic/csv.php desde IPs externas. Normalmente decenas a cientos de peticiones, a veces desde el mismo puñado de IPs durante semanas.
[ USUARIOS ]
Administradores creados desde marzo de 2024 que no reconoces. Patrones comunes: nombres de usuario como 'admin', 'wpadmin', 'user' con emails desechables.
[ PLUGINS ]
Plugins instalados por el nuevo usuario admin — plugins tipo file-manager, plugins de seguridad falsos o cualquier cosa que tú no instalaras.
[ WEB SHELLS ]
PHP recién creado en wp-content/uploads/ y cualquier ubicación que no sea de plugin. El endpoint CSV.php también se abusó para escribir shells directamente.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →