threatover Patrik Grobshäuser

CVE-2024-25600 · Unauth RCE · Bricks theme

Bricks Builder RCE cleanup.

Bricks Builder versions 1.0–1.9.6 had an unauthenticated RCE that was mass-exploited within 24 hours of disclosure. If your site ran an affected version, treat it as compromised until proven otherwise. I clean it manually. Flat $279.

What the bug was

Entrada de usuario → eval(), sin autenticación.

Bricks Builder exponía una ruta REST que parseaba expresiones PHP suministradas por el usuario y las ejecutaba mediante eval(). El endpoint no requería autenticación. Cualquier visitante no autenticado podía ejecutar PHP arbitrario en el servidor.

Afectadas: 1.0 hasta 1.9.6. Parche: 1.9.6.1, publicado el 13 de febrero de 2024. El parche fue una actualización forzada para instalaciones con licencia, pero cualquiera que usara una copia pirata o una caché desactualizada se vio afectado.

Indicators

Qué dejan los atacantes detrás.

  • Access log

    POSTs a /wp-json/bricks/v1/render_element con respuesta 200. Indicador común: muchas peticiones de este tipo en cuestión de minutos desde un pequeño conjunto de IPs.

  • Files

    PHP recién creado en wp-content/uploads/ — a menudo con nombres que parecen inocuos (cache.php, index.php, .ico.php). Compara contra una instalación limpia de WordPress.

  • Usuarios

    Cuentas de admin creadas desde febrero de 2024 que tú no creaste. A menudo con nombres de usuario autogenerados o emails desechables.

  • Options

    Filas wp_options recién autoloaded — en particular cualquier cosa con payloads codificados en base64 o nombres de opción desconocidos.

Precios

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza

Monitoring

$29 / mo

per site, cancel any time

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Correo [email protected] or use the contact form.