threatover Patrik Grobshäuser

CVE-2024-2879 · Unauth SQLi · bundled with themes

LayerSlider SQL injection cleanup.

L'injection SQL non authentifiée dans LayerSlider permettait aux attaquants d'extraire les hashes de mots de passe admin et les secrets de session. Impact le plus lourd : les sites avec des thèmes embarquant LayerSlider qui ne l'ont jamais mis à jour. Forfait $279 pour nettoyer.

What the bug was

Entrée utilisateur → SQL, aucune authentification.

Une action AJAX de LayerSlider acceptait une entrée contrôlée par l'utilisateur qui était concaténée dans une requête SQL. Aucune authentification requise. Affectées : 7.9.11 à 7.10.0. Patchée : 7.10.1, publiée le 27 mars 2024.

Une SQLi ici est dangereuse non pas à cause de la modification de la base mais à cause de l'extraction — les hashes de mots de passe admin sont crackables hors ligne (surtout les anciens cost factors bcrypt), et les valeurs WordPress AUTH_KEY stockées dans wp_options permettent à un attaquant de forger des cookies et de contourner totalement le formulaire de connexion.

Indicators

Ce que nous en faisons

  • JOURNAL D'ACCÈS

    Requêtes POST vers admin-ajax.php avec action=ls_get_popup_markup ou d'autres actions LayerSlider, contenant des schémas SQLi classiques (UNION SELECT, payloads encodés en hexadécimal).

  • SESSIONS

    Connexions admin depuis des IP inconnues qui n'ont pas de POST wp-login.php correspondant dans la même fenêtre — suggère des cookies forgés à partir d'AUTH_KEY qui ont fuité.

  • UTILISATEURS

    Nouveaux admins créés depuis mars 2024. Changements de mots de passe d'admins existants que vous n'avez pas effectués.

  • ROTATION DES SECRETS

    Si les clés ont été exfiltrées, faire tourner wp-config.php AUTH_KEY/SECURE_AUTH_KEY/LOGGED_IN_KEY/NONCE_KEY est obligatoire avant qu'un nettoyage soit durable. Nous le faisons par défaut.

Tarifs

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage

Monitoring

$29 / mo

per site, cancel any time

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

E-mail [email protected] or use the contact form.