threatover Patrik Grobshäuser

CVE-2024-27956 · Unauth SQLi · mass-exploited

WP Automatic SQL injection cleanup.

An unauthenticated SQL injection in WP Automatic let attackers create administrators and plant backdoors at scale in March 2024. If your site ran an affected version, treat it as compromised. I clean it manually. Flat $279.

What the bug was

SQLi non authentifiée dans un handler d'import CSV.

WP Automatic exposait un endpoint qui acceptait des données au format CSV et passait les champs fournis par l'utilisateur dans la base de données WordPress sans assainissement. N'importe quel visiteur non authentifié pouvait forger une requête qui exécutait du SQL arbitraire. Versions affectées : antérieures à 3.92.1. Divulguée le 13 mars 2024.

Schéma d'attaque standard : insérer une ligne dans wp_users avec un hash de mot de passe connu ; insérer une ligne wp_usermeta correspondante accordant le rôle administrateur ; se connecter ; installer un plugin backdoor ou écrire un web shell.

Indicators

Ce que nous en faisons

  • Access log

    Requêtes POST vers wp-content/plugins/wp-automatic/csv.php depuis des IP externes. Typiquement des dizaines à des centaines de requêtes, parfois depuis la même poignée d'IP sur plusieurs semaines.

  • Utilisateurs

    Administrateurs créés depuis mars 2024 que vous ne reconnaissez pas. Schémas courants : noms d'utilisateur comme « admin », « wpadmin », « user » avec des e-mails jetables.

  • Plugins

    Plugins installés par le nouvel utilisateur admin — plugins de type file-manager, faux plugins de sécurité, ou tout ce que vous n'avez pas installé vous-même.

  • Web shells

    Nouveau PHP dans wp-content/uploads/ et tout emplacement non-plugin. L'endpoint CSV.php a aussi été détourné pour écrire des shells directement.

Tarifs

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage

Monitoring

$29 / mo

per site, cancel any time

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

E-mail [email protected] or use the contact form.