Was ist CVE-2024-25600?

Eine unauthentifizierte Remote Code Execution im WordPress-Theme Bricks Builder. Ein REST-Endpoint übergab nutzerseitige Eingaben ohne Authentifizierung an eval(). Betroffen waren Versionen 1.0 bis 1.9.6; 1.9.6.1 hat gepatcht. Offengelegt im Februar 2024, aktive Ausnutzung innerhalb weniger Tage gemeldet.

Wie schnell wurde die Lücke ausgenutzt?

Massen-Scans und Ausnutzung begannen innerhalb von 24 Stunden nach der öffentlichen Offenlegung. Mehrere Sicherheitsfirmen meldeten Zehntausende Versuche pro Tag gegen verwundbare Installationen. Jede Seite, die in diesem Zeitfenster eine betroffene Version öffentlich erreichbar hatte, ist standardmäßig als kompromittiert zu betrachten.

Bricks is a paid theme. Does that mean it's safer?

Paid plugins and themes have the same exposure profile as free ones once they're running on a server reachable from the internet. Premium status doesn't change the math.

Ich habe aktualisiert. Warum brauche ich trotzdem eine Bereinigung?

Updating closes the door for new attempts. It doesn't remove anything an attacker planted before the update. If the site was vulnerable during any part of the exploit window, you need a forensic look — file diffs, database review, admin user audit — to be sure nothing was left behind.

// CVE-2024-25600 · UNAUTH RCE · BRICKS THEME

Bricks Builder RCE cleanup.

Bricks Builder versions 1.0–1.9.6 had an unauthenticated RCE that was mass-exploited within 24 hours of disclosure. If your site ran an affected version, treat it as compromised until proven otherwise. I clean it manually. Flat $279.

Bereinigung starten → Über den Bug

§ 01 — WAS DER BUG WAR

Nutzereingabe → eval(), keine Authentifizierung.

Bricks Builder exponierte eine REST-Route, die nutzerseitig gelieferte PHP-Ausdrücke parste und durch eval() laufen ließ. Der Endpoint erforderte keine Authentifizierung. Jeder unauthentifizierte Besucher konnte beliebiges PHP auf dem Server ausführen.

Betroffen: 1.0 bis 1.9.6. Gepatcht: 1.9.6.1, veröffentlicht am 13. Februar 2024. Der Patch war ein erzwungenes Update für lizenzierte Installationen, aber wer eine Raubkopie oder einen veralteten Cache nutzte, wurde getroffen.

§ 02 — INDIKATOREN

Was Angreifer hinterlassen.

[ ZUGRIFFSLOG ]
POSTs an /wp-json/bricks/v1/render_element mit 200-Response. Häufiger Indikator: viele solche Requests innerhalb von Minuten aus einer kleinen Gruppe von IPs.
[ DATEIEN ]
Frisches PHP in wp-content/uploads/ — oft mit harmlos klingenden Namen (cache.php, index.php, .ico.php). Mit einer sauberen WordPress-Installation vergleichen.
[ NUTZER ]
Admin-Konten, die seit Februar 2024 angelegt wurden und nicht von dir stammen. Oft mit automatisch generierten Benutzernamen oder Wegwerf-E-Mails.
[ OPTIONS ]
Neu autoloaded wp_options-Zeilen — besonders alles mit base64-codierten Payloads oder unbekannten Options-Namen.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →