Критическая уязвимость, связанная с удаленным выполнением произвольного кода в теме Brick Builder Theme для WordPress, используется для запуска вредоносного PHP-кода на уязвимых сайтах, предупреждают специалисты.
Brick Builder Theme представляет собой премиум-тему WordPress, которая описывается как инновационный конструктор сайтов. Продукт насчитает около 25 000 активных установок.
10 февраля 2024 года исследователь, известный под ником snicco, обнаружил уязвимость, получившую идентификатор CVE-2024-25600, которая затрагивает Brick Builder Theme с конфигурацией по умолчанию. Проблема связана с вызовом функции eval в prepare_query_vars_from_settings и позволяет неавторизованному пользователю добиться выполнения произвольного PHP-кода.
Платформа Patchstack, специализирующаяся на поиске уязвимостей в WordPress, уведомила об уязвимости разработчиков Brick Builder Theme. В итоге исправление для CVE-2024-25600 появилось 13 февраля, с релизом версии 1.9.6.1.
Производитель Brick Builder Theme сообщал, что никаких доказательств эксплуатации проблемы хакерами пока не обнаружено, однако пользователям настоятельно рекомендовалось как можно скорее обновиться до последней версии.
Вскоре после этого специалисты Patchstack опубликовали технический анализ свежей уязвимости и предупредили, что они уже зафиксировали активные попытки ее эксплуатации, начавшиеся 14 февраля. По словам исследователей, на этапе пост-эксплуатации злоумышленники используют малварь, которая способна отключить такие защитные плагины, как Wordfence и Sucuri. Большинство атак было связано со следующими IP-адресами:
• 200.251.23.57;
• 92.118.170.216;
• 103.187.5.128;
• 149.202.55.79;
• 5.252.118.211;
• 91.108.240.52.
Компания Wordfence также подтверждает, что проблема CVE-2024-25600 уже находится под атаками и сообщает о 24 случаях эксплуатации за последние сутки. Пользователей Brick Builder Theme призывают как можно скорее обновиться до версии 1.9.3.1.
