Andrew
國外媒體近期披露,威脅攻擊者正在積極利用 Brick Builder 中的關鍵遠程代碼執行 (RCE) 漏洞,在易受攻擊的網站上執行惡意 PHP 代碼。
Bricks Builder 是一個高級 WordPress 插件,被“譽為”是創新的、社區驅動的可視化網站構建工具,擁有約 25000 個有效安裝,可促進網站設計的用戶友好性和定制化。
2 月 10 日,一個名為 "snicco "的研究員發現了一個被追蹤為 CVE-2024-25600 的安全漏洞,影響了以默認配置安裝的 Brick Builder 主題。同一天,snicco 還披露了 CVE-2024-25600 安全漏洞的一些其它細節,加入了攻擊演示,但沒有加入漏洞利用代碼。
據悉,漏洞 CVE-2024-25600 是由 "preparequeryvars_from_settings "函數中的一個 eval 函數錯誤調用導致的,未經身份驗證的威脅攻擊者可利用該函數執行任意 PHP 代碼。
WordPress 安全漏洞 Patchstack 平臺在收到安全漏洞報告后,立刻通知了 Bricks 團隊。2 月 13 日,在 發布的 1.9.6.1 版本中修復漏洞問題。值得一提的是,WordPress 公告指出,雖然沒有證據能夠表明 CVE-2024-25600 安全漏洞是否被威脅攻擊者利用了,但還是敦促用戶盡快升級到最新版本。
安全漏洞 CVE-2024-25600 其它詳情
Patchstack 在近期發布的文章中分享了 CVE-2024-25600 安全漏洞的詳細信息,此前該公司安全人員已經檢測到了從 2 月 14 日開始的漏洞主動利用嘗試。隨后,Patchstack 進一步指出,CVE-2024-25600 安全漏洞源于通過 preparequeryvars_from_settings 中的 eval 函數執行用戶控制的輸入,$php_query_raw 是從 queryEditor 構建的。
盡管在 renderelementpermissions_check 中進行了 nonce 檢查,但由于可公開訪問的 nonces 和不充分的權限檢查,允許未經驗證的訪問,因此可以通過用于服務器端渲染的 REST API 端點利用這一安全風險。
Patchstack 方面還表示,研究人員在 CVE-2024-25600 漏洞暴露后階段觀察到威脅攻擊者使用了特定的惡意軟件,這些惡意軟件可以禁用 Wordfence 和 Sucuri 等安全插件。
以下 IP 地址與大多數攻擊有關:
200.251.23.57
92.118.170.216
103.187.5.128
149.202.55.79
5.252.118.211
91.108.240.52
Wordfence 確認了 CVE-2024-25600 安全漏洞的活躍利用狀態,并報告稱在過去發現了 24 次檢測。因此,安全專家強烈建議 Bricks 用戶立即升級到 1.9.3.1 版本。(具體方法是在 WordPress 面板中導航 "外觀 > 主題 "并點擊 "更新",或從此處手動升級)
參考文章:
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-rce-flaw-in-bricks-wordpress-site-builder/
Anna艷娜
上官雨寶
安全圈
安全俠
Anna艷娜
Anna艷娜
X0_0X
安全俠
007bug
安全俠
Anna艷娜
Andrew
