WordPress的Bricks主题存在一个严重的安全漏洞,恶意威胁行为者正在积极利用该漏洞在易受攻击的安装上运行任意PHP代码。
该漏洞被跟踪为CVE-2024-25600(CVSS评分:9.8),使未经身份验证的攻击者能够实现远程代码执行。它影响Bricks的所有版本,包括1.9.6版本及更早版本。
该漏洞已在2024年2月13日发布的1.9.6.1版本中得到解决,这仅仅是在WordPress安全提供商Snicco在2月10日报告了该漏洞几天后。
尽管尚未发布PoC(概念验证)利用程序,但Snicco和Patchstack都发布了技术细节,指出存在于prepare_query_vars_from_settings()函数中的潜在易受攻击的代码。
具体而言,涉及使用称为“一次性令牌”的安全令牌来验证权限,然后可用于传递任意命令以执行,有效地允许恶意威胁行为者控制目标站点。
Patchstack表示,一次性令牌值在WordPress网站前端是公开可用的,而且没有适当的角色检查。
WordPress在其文档中警告说:“永远不要依赖一次性令牌进行身份验证、授权或访问控制。”“使用current_user_can()保护您的函数,并始终假定一次性令牌可能会被破坏。”
WordPress安全公司Wordfence表示,截至2024年2月19日,他们已经检测到超过三十次攻击尝试利用该漏洞。据称,利用尝试始于2月14日,即公开披露的一天之后。
大多数攻击来源于以下IP地址-
200.251.23[.]57
92.118.170[.]216
103.187.5[.]128
149.202.55[.]79
5.252.118[.]211
91.108.240[.]52
Bricks目前估计有大约25,000个活跃安装。建议插件的用户应用最新补丁以减轻潜在威胁。