threatover Patrik Grobshäuser

CVE-2024-27956 · Unauth SQLi · mass-exploited

WP Automatic SQL injection cleanup.

An unauthenticated SQL injection in WP Automatic let attackers create administrators and plant backdoors at scale in March 2024. If your site ran an affected version, treat it as compromised. I clean it manually. Flat $279.

What the bug was

SQLi no autenticada en un handler de importación CSV.

WP Automatic exponía un endpoint que aceptaba datos en formato CSV y pasaba los campos suministrados por el usuario a la base de datos de WordPress sin saneamiento. Cualquier visitante no autenticado podía construir una petición que ejecutara SQL arbitrario. Versiones afectadas: anteriores a 3.92.1. Divulgado el 13 de marzo de 2024.

Patrón de ataque estándar: insertar una fila en wp_users con un hash de contraseña conocido; insertar una fila correspondiente en wp_usermeta concediendo el rol de administrador; iniciar sesión; instalar un plugin backdoor o escribir un web shell.

Indicators

Qué hacemos con ello

  • Access log

    POSTs a wp-content/plugins/wp-automatic/csv.php desde IPs externas. Normalmente decenas a cientos de peticiones, a veces desde el mismo puñado de IPs durante semanas.

  • Usuarios

    Administradores creados desde marzo de 2024 que no reconoces. Patrones comunes: nombres de usuario como 'admin', 'wpadmin', 'user' con emails desechables.

  • Plugins

    Plugins instalados por el nuevo usuario admin — plugins tipo file-manager, plugins de seguridad falsos o cualquier cosa que tú no instalaras.

  • Web shells

    PHP recién creado en wp-content/uploads/ y cualquier ubicación que no sea de plugin. El endpoint CSV.php también se abusó para escribir shells directamente.

Precios

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza

Monitoring

$29 / mo

per site, cancel any time

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Correo [email protected] or use the contact form.