Qu'est-ce que CVE-2024-25600 ?

Une exécution de code à distance non authentifiée dans le thème WordPress Bricks Builder. Un endpoint REST passait des entrées utilisateur dans eval() sans authentification. Les versions 1.0 à 1.9.6 étaient affectées ; 1.9.6.1 corrige. Divulguée en février 2024, avec une exploitation active signalée en quelques jours.

À quelle vitesse a-t-elle été exploitée ?

Le scan et l'exploitation de masse ont commencé dans les 24 heures suivant la divulgation publique. Plusieurs sociétés de sécurité ont signalé des dizaines de milliers de tentatives par jour contre les installations vulnérables. Tout site exécutant une version affectée et exposé sur l'internet public durant cette fenêtre doit être considéré comme compromis par défaut.

Bricks is a paid theme. Does that mean it's safer?

Paid plugins and themes have the same exposure profile as free ones once they're running on a server reachable from the internet. Premium status doesn't change the math.

J'ai mis à jour. Pourquoi ai-je encore besoin d'un nettoyage ?

Updating closes the door for new attempts. It doesn't remove anything an attacker planted before the update. If the site was vulnerable during any part of the exploit window, you need a forensic look — file diffs, database review, admin user audit — to be sure nothing was left behind.

// CVE-2024-25600 · RCE NON AUTH · THÈME BRICKS

Bricks Builder RCE cleanup.

Bricks Builder versions 1.0–1.9.6 had an unauthenticated RCE that was mass-exploited within 24 hours of disclosure. If your site ran an affected version, treat it as compromised until proven otherwise. I clean it manually. Flat $279.

Démarrer un nettoyage → À propos du bug

§ 01 — EN QUOI CONSISTAIT LE BUG

Entrée utilisateur → eval(), aucune authentification.

Bricks Builder exposait une route REST qui interprétait des expressions PHP fournies par l'utilisateur et les exécutait via eval(). L'endpoint ne nécessitait pas d'authentification. N'importe quel visiteur non authentifié pouvait exécuter du PHP arbitraire sur le serveur.

Affectées : 1.0 à 1.9.6. Patchée : 1.9.6.1, publiée le 13 février 2024. Le correctif était une mise à jour forcée pour les installations sous licence, mais quiconque utilisait une copie piratée ou un cache obsolète a été touché.

§ 02 — INDICATEURS

Ce que les attaquants laissent derrière eux.

[ JOURNAL D'ACCÈS ]
Requêtes POST vers /wp-json/bricks/v1/render_element avec une réponse 200. Indicateur courant : de nombreuses requêtes de ce type en quelques minutes depuis un petit ensemble d'IP.
[ FICHIERS ]
Nouveau PHP dans wp-content/uploads/ — souvent nommé pour paraître banal (cache.php, index.php, .ico.php). Comparez à une installation WordPress propre.
[ UTILISATEURS ]
Comptes admin créés depuis février 2024 que vous n'avez pas créés. Souvent avec des noms d'utilisateur auto-générés ou des e-mails jetables.
[ OPTIONS ]
Nouvelles lignes autoload dans wp_options — en particulier tout ce qui contient des payloads encodés en base64 ou des noms d'options inconnus.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →