Qu'est-ce que CVE-2024-27956 ?

Une injection SQL non authentifiée dans le plugin WP Automatic (versions antérieures à 3.92.1). Le chemin de code vulnérable était un handler d'import CSV qui passait les données fournies par l'utilisateur directement dans une requête SQL. Divulguée en mars 2024 ; l'exploitation de masse a commencé en quelques jours.

Que faisaient les attaquants avec la SQLi ?

The most common pattern was: inject SQL to add a new administrator user with a known password, log in, install a backdoor plugin or drop a web shell. WP Automatic's heavy install base on auto-blogging sites meant many of those sites were already neglected.

Pourquoi a-t-elle été si massivement exploitée ?

WP Automatic est un plugin payant largement distribué via des places de marché de code et des canaux de fuite de licences. Beaucoup d'installations étaient sur des sites d'auto-publication non surveillés dont les propriétaires n'ont jamais remarqué les patches. La combinaison d'une SQLi non authentifiée, de la création instantanée d'admin et d'un public peu réactif a produit l'un des événements d'exploitation de masse WordPress les plus marquants de 2024.

J'ai mis à jour vers 3.92.1 le jour de sa sortie. Suis-je propre ?

Possibly — but you still need to check for indicators. The exploit window was narrow on paper but very dense in practice. I routinely see sites that updated within 48 hours but were already compromised.

// CVE-2024-27956 · SQLi NON AUTH · EXPLOITÉ MASSIVEMENT

WP Automatic SQL injection cleanup.

An unauthenticated SQL injection in WP Automatic let attackers create administrators and plant backdoors at scale in March 2024. If your site ran an affected version, treat it as compromised. I clean it manually. Flat $279.

Démarrer un nettoyage → À propos du bug

§ 01 — EN QUOI CONSISTAIT LE BUG

SQLi non authentifiée dans un handler d'import CSV.

WP Automatic exposait un endpoint qui acceptait des données au format CSV et passait les champs fournis par l'utilisateur dans la base de données WordPress sans assainissement. N'importe quel visiteur non authentifié pouvait forger une requête qui exécutait du SQL arbitraire. Versions affectées : antérieures à 3.92.1. Divulguée le 13 mars 2024.

Schéma d'attaque standard : insérer une ligne dans wp_users avec un hash de mot de passe connu ; insérer une ligne wp_usermeta correspondante accordant le rôle administrateur ; se connecter ; installer un plugin backdoor ou écrire un web shell.

§ 02 — INDICATEURS

Ce que nous en faisons

[ JOURNAL D'ACCÈS ]
Requêtes POST vers wp-content/plugins/wp-automatic/csv.php depuis des IP externes. Typiquement des dizaines à des centaines de requêtes, parfois depuis la même poignée d'IP sur plusieurs semaines.
[ UTILISATEURS ]
Administrateurs créés depuis mars 2024 que vous ne reconnaissez pas. Schémas courants : noms d'utilisateur comme « admin », « wpadmin », « user » avec des e-mails jetables.
[ PLUGINS ]
Plugins installés par le nouvel utilisateur admin — plugins de type file-manager, faux plugins de sécurité, ou tout ce que vous n'avez pas installé vous-même.
[ WEB SHELLS ]
Nouveau PHP dans wp-content/uploads/ et tout emplacement non-plugin. L'endpoint CSV.php a aussi été détourné pour écrire des shells directement.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →