0day в Bricks Builder: судьба 25 000 сайтов под большим вопросом

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Продвинутый веб-конструктор дал пользователям функционал, попутно отобрав безопасность.

Кэлвин Алкан, независимый специалист в области кибербезопасности с платформы Snicco, недавно обнаружил уязвимость в премиальной теме Bricks Builder для WordPress. Брешь позволяет хакерам выполнять произвольный PHP-код на сайтах, использующих эту тему.

Насчитывающая около 25 000 активных установок Bricks Builder известна своим удобством и возможностями настройки в дизайне сайтов. Разработчики описывают её не просто как тему для WordPress, а как продвинутый визуальный конструктор сайтов. Выявленная уязвимость получила обозначение CVE-2024-25600 и представляет угрозу при установке Bricks Builder с настройками по умолчанию.

Проблема связана с использованием функции eval в процессе подготовки переменных запроса, что может позволить неаутентифицированным пользователям выполнять произвольный код.

Забудь про блокировки! VPN через Телеграмм-бот для России!

Платформа Patchstack, специализирующаяся на безопасности WordPress, оперативно сообщила о проблеме разработчикам Bricks Builder, и уже 13 февраля было выпущено обновление 1.9.6.1, устраняющее ошибку.

В своём посте разработчики сообщили, что на момент выхода исправления не обнаружили каких-либо доказательств реальной эксплуатации CVE-2024-25600, однако пользователям рекомендуется обновиться до последней версии темы, чтобы минимизировать риски.

Уже 14 февраля эксперты Patchstack и Wordfence начали фиксировать попытки эксплуатации уязвимости, ведь мало кто так быстро обновит уязвимый продукт до последней версии. В своих атаках злоумышленники используют специализированное вредоносное ПО, способное отключать установленные плагины безопасности, чтобы повысить шансы на успешную эксплуатацию CVE-2024-25600.

В свете этих событий всем владельцам сайтов на WordPress, использующих тему Bricks Builder, настоятельно рекомендуется незамедлительно обновить её до версии 1.9.6.1 через панель управления WordPress или вручную, чтобы обезопасить свои ресурсы от потенциальных атак.

  Невада против Meta: власти хотят отключить сквозное шифрование для детей

Ты не вирус, но мы видим, что ты активен!

Подпишись, чтобы защититься

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.