threatover Patrik Grobshäuser

CVE-2024-25600 · Unauth RCE · Bricks theme

Bricks Builder RCE cleanup.

Bricks Builder versions 1.0–1.9.6 had an unauthenticated RCE that was mass-exploited within 24 hours of disclosure. If your site ran an affected version, treat it as compromised until proven otherwise. I clean it manually. Flat $279.

What the bug was

Nutzereingabe → eval(), keine Authentifizierung.

Bricks Builder exponierte eine REST-Route, die nutzerseitig gelieferte PHP-Ausdrücke parste und durch eval() laufen ließ. Der Endpoint erforderte keine Authentifizierung. Jeder unauthentifizierte Besucher konnte beliebiges PHP auf dem Server ausführen.

Betroffen: 1.0 bis 1.9.6. Gepatcht: 1.9.6.1, veröffentlicht am 13. Februar 2024. Der Patch war ein erzwungenes Update für lizenzierte Installationen, aber wer eine Raubkopie oder einen veralteten Cache nutzte, wurde getroffen.

Indicators

Was Angreifer hinterlassen.

  • Access log

    POSTs an /wp-json/bricks/v1/render_element mit 200-Response. Häufiger Indikator: viele solche Requests innerhalb von Minuten aus einer kleinen Gruppe von IPs.

  • Files

    Frisches PHP in wp-content/uploads/ — oft mit harmlos klingenden Namen (cache.php, index.php, .ico.php). Mit einer sauberen WordPress-Installation vergleichen.

  • Nutzer

    Admin-Konten, die seit Februar 2024 angelegt wurden und nicht von dir stammen. Oft mit automatisch generierten Benutzernamen oder Wegwerf-E-Mails.

  • Options

    Neu autoloaded wp_options-Zeilen — besonders alles mit base64-codierten Payloads oder unbekannten Options-Namen.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.