Hackers Explotan Falla Crítica en el Tema de WordPress Bricks

Los piratas informáticos están explotando activamente una falla crítica de ejecución remota de código (RCE) que afecta al tema Brick Builder para ejecutar código PHP malicioso en sitios vulnerables. El tema Bricks Builder es un tema premium de WordPress que se describe como un creador de sitios visual innovador e impulsado por la comunidad.

Con alrededor de 25.000 instalaciones activas, el producto promueve la facilidad de uso y la personalización en el diseño de sitios web.

El 10 de febrero, un investigador llamado ‘snicco’ descubrió una vulnerabilidad actualmente rastreada como CVE-2024-25600 que afecta el tema Brick Builder instalado con su configuración predeterminada.

El problema de seguridad se debe a una llamada a la función eval en la función ‘prepare_query_vars_from_settings’, que podría permitir que un usuario no autenticado la aproveche para ejecutar código PHP arbitrario.

La plataforma Patchstack para vulnerabilidades de seguridad en WordPress recibió el informe y notificó al equipo de Bricks. Una solución estuvo disponible el 13 de febrero con el lanzamiento de la versión 1.9.6.1.

El aviso del proveedor señaló en ese momento que no había evidencia de que se estuviera explotando la falla, pero instó a los usuarios a actualizar a la última versión lo antes posible.

“Hasta el momento de este comunicado, no hay evidencia de que esta vulnerabilidad haya sido explotada. Sin embargo, el potencial de explotación aumenta cuanto más se retrasa la actualización a 1.9.6.1”, se lee en el boletín de Bricks.

“Actualice todos sus sitios de Bricks a la última versión de Bricks 1.9.6.1 lo antes posible. Pero al menos dentro de las próximas 24 horas. Cuanto antes, mejor”, instó el desarrollador a los administradores.

El mismo día, snicco reveló algunos detalles sobre la vulnerabilidad. Hoy, el investigador actualizó la publicación original para incluir una demostración del ataque, pero no el código de explotación.

Explotación en Activo

En una publicación de hoy, Patchstack también compartió detalles completos de CVE-2024-25600, luego de detectar intentos de explotación activos que comenzaron el 14 de febrero.

La compañía explica que la falla surge de la ejecución de entradas controladas por el usuario a través de la función eval en prepare_query_vars_from_settings , con $php_query_raw construido a partir de queryEditor.

Es posible explotar este riesgo de seguridad a través de puntos finales de API REST para la representación del lado del servidor, a pesar de una verificación nonce en render_element_permissions_check , debido a nonces de acceso público y comprobaciones de permisos inadecuadas, que permiten el acceso no autenticado.

Patchstack dice que observó en la fase posterior a la explotación que los atacantes utilizaron malware específico que puede desactivar complementos de seguridad como Wordfence y Sucuri.

Las siguientes direcciones IP se han asociado con la mayoría de los ataques:

  • 200.251.23.57
  • 92.118.170.216
  • 103.187.5.128
  • 149.202.55.79
  • 5.252.118.211
  • 91.108.240.52

Wordfence también confirmó el estado de explotación activa de CVE-2024-25600 e informó haber visto 24 detecciones en el último día.

Se recomienda a los usuarios de Bricks que actualicen a la versión 1.9.6.1 inmediatamente, ya sea navegando “Apariencia > Temas” en el panel de WordPress y haciendo clic en “actualizar” o manualmente.

Relacionado

WordPress: Graves Errores Detectados en el Complemento Ninja Forms, 1 millón de sitios afectados

Las vulnerabilidades detectadas en el complemento Ninja Forms para WordPress, instalado en más de un millón de sitios, pueden conducir a un asalto completo del sitio si no se repara antes de un posible ataque. Wordfence detectó un total de cuatro vulnerabilidades en el complemento de WordPress Ninja Forms que podrían permitir a los atacantes: Redirigir a los administradores del sitio a ubicaciones aleatorias. Instalar un ¡SEGUIR LEYENDO!

WordPress, Aprender desde Cero

Esta guía fue creada hace ya más de 2 años, pero aún es perfectamente valido la gran mayoría de sus contenidos. Por ende, he decidido subirla a mi web. Antes de comenzar con WordPress, puede ser que te venga bien; pasar por alguno de estos enlaces. Con los que tener mayor conocimiento sobre que es WordPress o ampliar horizontes sobre tus ideas creativas. Inicio de un ¡SEGUIR LEYENDO!

WordPress obtiene un asistente de inteligencia artificial que puede escribir publicaciones de blog, corregir la gramática, traducir contenido

Automattic, uno de los principales contribuyentes de WordPress, ha lanzado un nuevo asistente de escritura impulsado por IA para la plataforma. Conocido como Jetpack AI Assistant, la nueva herramienta está diseñada para escribir publicaciones de blog, páginas detalladas, listas estructuradas y tablas basadas en las indicaciones proporcionadas por el usuario. El asistente de IA puede escribir contenido en diferentes tonos; como informal, optimista, formal, humorístico, escéptico ¡SEGUIR LEYENDO!

Vulnerabilidades de Leaky Vessels permiten a Hackers escapar de Contenedores Docker y runc

El descubrimiento de cuatro vulnerabilidades conocidas como "Leaky Vessels" ha planteado preocupaciones significativas en el mundo de la seguridad informática. Estas vulnerabilidades, detectadas por el investigador de seguridad de Snyk, Rory McNamara, en noviembre de 2023, representan una amenaza potencial para la integridad de los contenedores Docker y runc, así como para la seguridad de los datos alojados en los sistemas operativos subyacentes. Escape de contenedores ¡SEGUIR LEYENDO!

Vulnerabilidad en el Servidor de Correo Electrónico Roundcube permite Ejecutar Ataques

La vulnerabilidad de seguridad (CVE-2023-43770) es un error persistente de scripting entre sitios (XSS) que permite a los atacantes acceder a información restringida a través de enlaces maliciosamente diseñados en mensajes de texto plano con ataques de baja complejidad que requieren la interacción del usuario. La vulnerabilidad afecta a los servidores de correo electrónico Roundcube que ejecutan versiones más recientes que 1.4.14, 1.5.x antes de 1.5.4 ¡SEGUIR LEYENDO!