Uma lacuna sátira de segurança no tema Bricks para WordPress está sendo ativamente explorada por agentes de ameaças para executar código PHP facultativo em instalações suscetíveis.
A lacuna, rastreada uma vez que CVE-2024-25600 (pontuação CVSS: 9,8), permite que invasores não autenticados obtenham realização remota de código. Ele afeta todas as versões dos Bricks até 1.9.6 inclusive.
O problema foi resolvido pelos desenvolvedores do tema na versão 1.9.6.1 lançada em 13 de fevereiro de 2024, poucos dias depois que o provedor de segurança WordPress Snicco relatou a lacuna em 10 de fevereiro.
Embora uma exploração de prova de noção (PoC) não tenha sido lançada, detalhes técnicos foram divulgados pela Snicco e pelo Patchstack, observando que o código vulnerável subjacente existe na função prepare_query_vars_from_settings().
Especificamente, diz reverência ao uso de tokens de segurança chamados “nonces” para verificar permissões, que podem logo ser usados para transmitir comandos arbitrários para realização, permitindo efetivamente que um ator de prenúncio assuma o controle de um site visado.
O valor nonce está disponível publicamente no frontend de um site WordPress, disse Patchstack, acrescentando que não há verificações de função adequadas aplicadas.
“Nunca se deve responsabilizar nos Nonces para autenticação, autorização ou controle de aproximação”, alerta o WordPress em sua documentação. “Proteja suas funções usando current_user_can() e sempre presuma que os nonces podem ser comprometidos.”
A empresa de segurança WordPress Wordfence disse que detectou mais de três dúzias de tentativas de ataque explorando a lacuna em 19 de fevereiro de 2024. As tentativas de exploração teriam começado em 14 de fevereiro, um dia depois a divulgação pública.
A maioria dos ataques vem dos seguintes endereços IP –
- 200.251.23(.)57
- 92.118.170(.)216
- 103.187.5(.)128
- 149.202.55(.)79
- 5.252.118(.)211
- 91.108.240(.)52
Estima-se que Bricks tenha muro de 25.000 instalações ativas atualmente. Recomenda-se que os usuários do plugin apliquem os patches mais recentes para mitigar ameaças potenciais.
