CVE-2024-25600 · Unauth RCE · Bricks theme
Bricks Builder RCE cleanup.
Bricks Builder versions 1.0–1.9.6 had an unauthenticated RCE that was mass-exploited within 24 hours of disclosure. If your site ran an affected version, treat it as compromised until proven otherwise. I clean it manually. Flat $279.
What the bug was
Nutzereingabe → eval(), keine Authentifizierung.
Bricks Builder exponierte eine REST-Route, die nutzerseitig gelieferte PHP-Ausdrücke parste und durch eval() laufen ließ. Der Endpoint erforderte keine Authentifizierung. Jeder unauthentifizierte Besucher konnte beliebiges PHP auf dem Server ausführen.
Betroffen: 1.0 bis 1.9.6. Gepatcht: 1.9.6.1, veröffentlicht am 13. Februar 2024. Der Patch war ein erzwungenes Update für lizenzierte Installationen, aber wer eine Raubkopie oder einen veralteten Cache nutzte, wurde getroffen.
Indicators
Was Angreifer hinterlassen.
Access log
POSTs an /wp-json/bricks/v1/render_element mit 200-Response. Häufiger Indikator: viele solche Requests innerhalb von Minuten aus einer kleinen Gruppe von IPs.
Files
Frisches PHP in wp-content/uploads/ — oft mit harmlos klingenden Namen (cache.php, index.php, .ico.php). Mit einer sauberen WordPress-Installation vergleichen.
Nutzer
Admin-Konten, die seit Februar 2024 angelegt wurden und nicht von dir stammen. Oft mit automatisch generierten Benutzernamen oder Wegwerf-E-Mails.
Options
Neu autoloaded wp_options-Zeilen — besonders alles mit base64-codierten Payloads oder unbekannten Options-Namen.
Preise
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Bereinigung startenMonitoring
$29 / mo
per site, cancel any time
Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.
Schützen lassenPart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Alle Leistungen ansehen →E-Mail [email protected] or use the contact form.