CVE-2024-25600 · Unauth RCE · Bricks theme
Bricks Builder RCE cleanup.
Bricks Builder versions 1.0–1.9.6 had an unauthenticated RCE that was mass-exploited within 24 hours of disclosure. If your site ran an affected version, treat it as compromised until proven otherwise. I clean it manually. Flat $279.
What the bug was
Entrada de usuario → eval(), sin autenticación.
Bricks Builder exponía una ruta REST que parseaba expresiones PHP suministradas por el usuario y las ejecutaba mediante eval(). El endpoint no requería autenticación. Cualquier visitante no autenticado podía ejecutar PHP arbitrario en el servidor.
Afectadas: 1.0 hasta 1.9.6. Parche: 1.9.6.1, publicado el 13 de febrero de 2024. El parche fue una actualización forzada para instalaciones con licencia, pero cualquiera que usara una copia pirata o una caché desactualizada se vio afectado.
Indicators
Qué dejan los atacantes detrás.
Access log
POSTs a /wp-json/bricks/v1/render_element con respuesta 200. Indicador común: muchas peticiones de este tipo en cuestión de minutos desde un pequeño conjunto de IPs.
Files
PHP recién creado en wp-content/uploads/ — a menudo con nombres que parecen inocuos (cache.php, index.php, .ico.php). Compara contra una instalación limpia de WordPress.
Usuarios
Cuentas de admin creadas desde febrero de 2024 que tú no creaste. A menudo con nombres de usuario autogenerados o emails desechables.
Options
Filas wp_options recién autoloaded — en particular cualquier cosa con payloads codificados en base64 o nombres de opción desconocidos.
Precios
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Iniciar limpiezaMonitoring
$29 / mo
per site, cancel any time
Monitorización continua, endurecimiento, una limpieza al año incluida.
ProtégetePart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Ver todos los servicios →Correo [email protected] or use the contact form.