【漏洞通告】WordPress Bricks Builder远程命令执行漏洞

admin 2024年2月29日18:33:33评论14 views字数 675阅读2分15秒阅读模式

01 漏洞概况

Bricks Builder主题是一个创新的、社区驱动的、可视化的WordPress网站构建器Bricks Builder(高级版)主题目前拥有约25,000个有效安装。
WordPress Brick Builder 1.9.6及之前版本中存在远程代码执行漏洞,该漏洞源于通过prepare_query_vars_from_settings()中的eval函数执行用户控制的输入,由于权限检查不当,未经身份验证的威胁者可利用该漏洞在受影响的WordPress网站上执行任意PHP代码。

02 漏洞处置

综合处置优先级:

漏洞信息

漏洞名称

WordPress Brick Builder远程命令执行漏洞

漏洞编号

CVE编号

CVE-2024-25600

漏洞评估

披露时间

2024-02-12

漏洞类型

命令执行

危害评级

高危

公开程度

PoC已公开

威胁类型

远程

利用情报

在野利用

未发现

影响产品

产品名称

WordPress Brick Builder

受影响版本

WordPress Brick Builder <= 1.9.6

影响范围

广

有无修复补丁

03 漏洞排查

用户尽快排查应用系统WordPress Brick Builder应用版本是否在Google WordPress Brick Builder <= 1.9.6。若存在应用使用,极大可能会受到影响

04 修复方案

当前官方已发布最新版本,建议受影响的用户及时更新升级到以下版本:

WordPress Brick Builder >=1.9.6.1

原文始发于微信公众号(安迈信科应急响应中心):【漏洞通告】WordPress Bricks Builder远程命令执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月29日18:33:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】WordPress Bricks Builder远程命令执行漏洞http://cn-sec.com/archives/2537339.html

发表评论

匿名网友 填写信息