Blog da EcoTrust

Vulnerabilidade Crítica de RCE no Construtor de Sites Bricks WordPress

Inteligência Artificial -

Hackers estão explorando uma falha crítica de execução remota de código (RCE) no tema Brick Builder do WordPress, permitindo a execução de código PHP malicioso em sites vulneráveis. O Bricks Builder Theme, um tema premium do WordPress com aproximadamente 25.000 instalações ativas, é conhecido por sua facilidade de uso e personalização.

Em 10 de fevereiro, uma vulnerabilidade, agora rastreada como CVE-2024-25600, foi descoberta pelo pesquisador ‘snicco’. Esta vulnerabilidade afeta o Brick Builder Theme em sua configuração padrão. A falha de segurança ocorre devido a uma chamada de função eval na função ‘prepare_query_vars_from_settings’, que pode permitir a um usuário não autenticado executar código PHP arbitrário.

A plataforma Patchstack, especializada em vulnerabilidades de segurança no WordPress, recebeu o relatório e notificou a equipe do Bricks. Uma correção foi disponibilizada em 13 de fevereiro com o lançamento da versão 1.9.6.1 do Bricks. Na época, a equipe do Bricks afirmou que não havia evidências de exploração da falha, mas instou os usuários a atualizarem para a versão mais recente o mais rápido possível.

A exploração ativa desta vulnerabilidade começou em 14 de fevereiro, conforme detectado pela Patchstack. A falha ocorre quando a entrada controlada pelo usuário é executada através da função eval em prepare_query_vars_from_settings, com $php_query_raw construído a partir de queryEditor. A exploração é possível através de pontos de extremidade da API REST para renderização do lado do servidor, apesar de um check-in nonces de render_element_permissions_check, devido a nonces publicamente acessíveis e verificações de permissão inadequadas.

Na fase de pós-exploração, a Patchstack observou que os invasores usaram malware específico que pode desativar plugins de segurança como Wordfence e Sucuri. Os seguintes endereços IP foram associados à maioria dos ataques:

  • 200.251.23.57
  • 92.118.170.216
  • 103.187.5.128
  • 149.202.55.79
  • 5.252.118.211
  • 91.108.240.52


O Wordfence também confirmou a exploração ativa do CVE-2024-25600, relatando 24 detecções. Recomenda-se que os usuários do Bricks atualizem para a versão 1.9.3.1 imediatamente, navegando em “Aparência > Temas” no painel do WordPress e clicando em “atualizar”, ou manualmente a partir daqui

Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui

Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.