¿Qué es CVE-2024-25600?

Una ejecución remota de código no autenticada en el tema Bricks Builder de WordPress. Un endpoint REST pasaba entrada suministrada por el usuario a eval() sin autenticación. Afectadas las versiones 1.0 a 1.9.6; 1.9.6.1 parcheó. Divulgada en febrero de 2024, con explotación activa reportada en cuestión de días.

¿Con qué rapidez se explotó?

El escaneo y la explotación masivos comenzaron en las 24 horas siguientes a la divulgación pública. Varias empresas de seguridad reportaron decenas de miles de intentos diarios contra instalaciones vulnerables. Cualquier sitio que corriera una versión afectada y estuviera expuesto a internet durante esa ventana debe considerarse comprometido por defecto.

Bricks is a paid theme. Does that mean it's safer?

Paid plugins and themes have the same exposure profile as free ones once they're running on a server reachable from the internet. Premium status doesn't change the math.

Actualicé. ¿Por qué sigo necesitando una limpieza?

Updating closes the door for new attempts. It doesn't remove anything an attacker planted before the update. If the site was vulnerable during any part of the exploit window, you need a forensic look — file diffs, database review, admin user audit — to be sure nothing was left behind.

// CVE-2024-25600 · RCE NO AUTENTICADO · TEMA BRICKS

Bricks Builder RCE cleanup.

Bricks Builder versions 1.0–1.9.6 had an unauthenticated RCE that was mass-exploited within 24 hours of disclosure. If your site ran an affected version, treat it as compromised until proven otherwise. I clean it manually. Flat $279.

Iniciar limpieza → Sobre el bug

§ 01 — EN QUÉ CONSISTÍA EL BUG

Entrada de usuario → eval(), sin autenticación.

Bricks Builder exponía una ruta REST que parseaba expresiones PHP suministradas por el usuario y las ejecutaba mediante eval(). El endpoint no requería autenticación. Cualquier visitante no autenticado podía ejecutar PHP arbitrario en el servidor.

Afectadas: 1.0 hasta 1.9.6. Parche: 1.9.6.1, publicado el 13 de febrero de 2024. El parche fue una actualización forzada para instalaciones con licencia, pero cualquiera que usara una copia pirata o una caché desactualizada se vio afectado.

§ 02 — INDICADORES

Qué dejan los atacantes detrás.

[ ACCESS LOG ]
POSTs a /wp-json/bricks/v1/render_element con respuesta 200. Indicador común: muchas peticiones de este tipo en cuestión de minutos desde un pequeño conjunto de IPs.
[ ARCHIVOS ]
PHP recién creado en wp-content/uploads/ — a menudo con nombres que parecen inocuos (cache.php, index.php, .ico.php). Compara contra una instalación limpia de WordPress.
[ USUARIOS ]
Cuentas de admin creadas desde febrero de 2024 que tú no creaste. A menudo con nombres de usuario autogenerados o emails desechables.
[ OPTIONS ]
Filas wp_options recién autoloaded — en particular cualquier cosa con payloads codificados en base64 o nombres de opción desconocidos.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →