先进的网络构建器为用户提供了功能,但同时剥夺了安全性。
Snicco 平台的独立网络安全专家 Calvin Alkan 最近 在WordPress 的高级 Bricks Builder 主题中发现了一个漏洞。该缺陷允许黑客在使用该主题的网站上执行任意 PHP 代码。
Bricks Builder 拥有近 25,000 个活跃安装,以其网站设计中的用户友好性和自定义选项而闻名。开发人员不仅将其描述为 WordPress 主题,而且将其描述为高级可视化网站构建器。已识别的漏洞被指定为 CVE-2024-25600 ,在使用默认设置安装 Bricks Builder 时会构成威胁。
该问题与请求变量准备期间使用 eval 函数有关,这可能允许未经身份验证的用户执行任意代码。
专门负责 WordPress 安全的 平台Patchstack及时 向 Bricks Builder 开发人员 报告了该问题,并于 2 月 13 日发布了更新 1.9.6.1 修复了该错误。
开发人员在帖子中表示,在发布修复程序时,他们尚未发现任何实际利用 CVE-2024-25600 的证据,但是建议用户更新到主题的最新版本,以最大程度地降低风险。
早在 2 月 14 日,Patchstack 和Wordfence的专家就开始记录利用该漏洞的尝试,因为很少有人会如此快地将易受攻击的产品更新到最新版本。在攻击中,攻击者使用专门的恶意软件来禁用已安装的安全插件,以增加成功利用 CVE-2024-25600 的机会。
鉴于这些进展,强烈建议所有使用 Bricks Builder 主题的 WordPress 网站所有者立即通过 WordPress 控制面板或手动将其更新到版本 1.9.6.1,以保护其资源免受潜在攻击。
本文由 华域联盟 原创撰写:华域联盟 » Bricks Builder 中的 0day:影响25,000 个网站的安全
转载请保留出处和原文链接:https://www.cnhackhy.com/157381.htm
