Bricks Builder 中的 0day:影响25,000 个网站的安全

阅读量37795

发布时间 : 2024-02-21 11:15:43

先进的网络构建器为用户提供了功能,但同时剥夺了安全性。

Snicco 平台的独立网络安全专家 Calvin Alkan 最近 在WordPress 的高级 Bricks Builder 主题中发现了一个漏洞。该缺陷允许黑客在使用该主题的网站上执行任意 PHP 代码。

Bricks Builder 拥有近 25,000 个活跃安装,以其网站设计中的用户友好性和自定义选项而闻名。开发人员不仅将其描述为 WordPress 主题,而且将其描述为高级可视化网站构建器。已识别的漏洞被指定为 CVE-2024-25600 ,在使用默认设置安装 Bricks Builder 时会构成威胁。

该问题与请求变量准备期间使用 eval 函数有关,这可能允许未经身份验证的用户执行任意代码。

专门负责 WordPress 安全的 平台Patchstack及时 向 Bricks Builder 开发人员 报告了该问题,并于 2 月 13 日发布了更新 1.9.6.1 修复了该错误。

开发人员在帖子中表示,在发布修复程序时,他们尚未发现任何实际利用 CVE-2024-25600 的证据,但是建议用户更新到主题的最新版本,以最大程度地降低风险。

早在 2 月 14 日,Patchstack 和Wordfence的专家就开始记录利用该漏洞的尝试,因为很少有人会如此快地将易受攻击的产品更新到最新版本。在攻击中,攻击者使用专门的恶意软件来禁用已安装的安全插件,以增加成功利用 CVE-2024-25600 的机会。

鉴于这些进展,强烈建议所有使用 Bricks Builder 主题的 WordPress 网站所有者立即通过 WordPress 控制面板或手动将其更新到版本 1.9.6.1,以保护其资源免受潜在攻击。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66