Qu'est-ce que CVE-2024-2879 ?

Une injection SQL non authentifiée dans le plugin LayerSlider (versions 7.9.11 à 7.10.0). Le paramètre vulnérable était traité par un endpoint AJAX sans assainissement approprié. Divulguée en mars 2024. Corrigée en 7.10.1.

Pourquoi LayerSlider était-il un cas marquant ?

LayerSlider ships bundled with a large number of premium WordPress themes. Many site owners don't realise they have it installed at all because they bought it as part of a theme package and never touched it. That meant a long tail of un-updated installs after the patch landed.

Que pouvait faire un attaquant avec une SQLi ici ?

Extraire les hashes de mots de passe administrateur, les clés de session et tout autre contenu de la base de données. Avec un hash de mot de passe, ils pouvaient tenter un crack hors ligne ; avec les clés secrètes de wp_options, ils pouvaient forger des sessions. Ensuite, le schéma RCE WordPress standard s'enchaîne.

I don't even use LayerSlider — why is it on my site?

It's commonly bundled into multi-purpose themes (Avada, Salient, Bridge, and many others) as a 'free' add-on. Themes ship a copy that has to be updated separately from the WordPress.org repo, and that update lag is exactly what gets exploited.

// CVE-2024-2879 · SQLi NON AUTH · LIVRÉ AVEC DES THÈMES

LayerSlider SQL injection cleanup.

L'injection SQL non authentifiée dans LayerSlider permettait aux attaquants d'extraire les hashes de mots de passe admin et les secrets de session. Impact le plus lourd : les sites avec des thèmes embarquant LayerSlider qui ne l'ont jamais mis à jour. Forfait $279 pour nettoyer.

Démarrer un nettoyage → À propos du bug

§ 01 — EN QUOI CONSISTAIT LE BUG

Entrée utilisateur → SQL, aucune authentification.

Une action AJAX de LayerSlider acceptait une entrée contrôlée par l'utilisateur qui était concaténée dans une requête SQL. Aucune authentification requise. Affectées : 7.9.11 à 7.10.0. Patchée : 7.10.1, publiée le 27 mars 2024.

Une SQLi ici est dangereuse non pas à cause de la modification de la base mais à cause de l'extraction — les hashes de mots de passe admin sont crackables hors ligne (surtout les anciens cost factors bcrypt), et les valeurs WordPress AUTH_KEY stockées dans wp_options permettent à un attaquant de forger des cookies et de contourner totalement le formulaire de connexion.

§ 02 — INDICATEURS

Ce que nous en faisons

[ JOURNAL D'ACCÈS ]
Requêtes POST vers admin-ajax.php avec action=ls_get_popup_markup ou d'autres actions LayerSlider, contenant des schémas SQLi classiques (UNION SELECT, payloads encodés en hexadécimal).
[ SESSIONS ]
Connexions admin depuis des IP inconnues qui n'ont pas de POST wp-login.php correspondant dans la même fenêtre — suggère des cookies forgés à partir d'AUTH_KEY qui ont fuité.
[ UTILISATEURS ]
Nouveaux admins créés depuis mars 2024. Changements de mots de passe d'admins existants que vous n'avez pas effectués.
[ ROTATION DES SECRETS ]
Si les clés ont été exfiltrées, faire tourner wp-config.php AUTH_KEY/SECURE_AUTH_KEY/LOGGED_IN_KEY/NONCE_KEY est obligatoire avant qu'un nettoyage soit durable. Nous le faisons par défaut.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →