threatover Patrik Grobshäuser

CVE-2024-25600 · Unauth RCE · Bricks theme

Bricks Builder RCE cleanup.

Bricks Builder versions 1.0–1.9.6 had an unauthenticated RCE that was mass-exploited within 24 hours of disclosure. If your site ran an affected version, treat it as compromised until proven otherwise. I clean it manually. Flat $279.

What the bug was

Entrée utilisateur → eval(), aucune authentification.

Bricks Builder exposait une route REST qui interprétait des expressions PHP fournies par l'utilisateur et les exécutait via eval(). L'endpoint ne nécessitait pas d'authentification. N'importe quel visiteur non authentifié pouvait exécuter du PHP arbitraire sur le serveur.

Affectées : 1.0 à 1.9.6. Patchée : 1.9.6.1, publiée le 13 février 2024. Le correctif était une mise à jour forcée pour les installations sous licence, mais quiconque utilisait une copie piratée ou un cache obsolète a été touché.

Indicators

Ce que les attaquants laissent derrière eux.

  • Access log

    Requêtes POST vers /wp-json/bricks/v1/render_element avec une réponse 200. Indicateur courant : de nombreuses requêtes de ce type en quelques minutes depuis un petit ensemble d'IP.

  • Files

    Nouveau PHP dans wp-content/uploads/ — souvent nommé pour paraître banal (cache.php, index.php, .ico.php). Comparez à une installation WordPress propre.

  • Utilisateurs

    Comptes admin créés depuis février 2024 que vous n'avez pas créés. Souvent avec des noms d'utilisateur auto-générés ou des e-mails jetables.

  • Options

    Nouvelles lignes autoload dans wp_options — en particulier tout ce qui contient des payloads encodés en base64 ou des noms d'options inconnus.

Tarifs

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage

Monitoring

$29 / mo

per site, cancel any time

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

E-mail [email protected] or use the contact form.