关于WordPress Brick Builder远程代码执行漏洞（CVE-2024-25600）的安全预警

一、 基本情况

Bricks Builder主题是一个创新的、社区驱动的、可视化的 WordPress 网站构建器Bricks Builder（高级版）主题目前拥有约 25,000 个有效安装。

二、 漏洞描述

Bricks Builder中存在一个远程代码执行漏洞（CVE-2024-25600），其CVSS评分为9.8，目前该漏洞的技术细节及PoC已经公开披露，且已检测到漏洞利用。

WordPress Brick Builder 1.9.6及之前版本中存在远程代码执行漏洞，该漏洞源于通过prepare_query_vars_from_settings（）中的 eval 函数执行用户控制的输入，由于权限检查不当，未经身份验证的威胁者可利用该漏洞在受影响的WordPress 网站上执行任意PHP代码。

三、 影响范围

WordPress Brick Builder <=1.9.6

四、 修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

WordPress Brick Builder >= 1.9.6.1

下载链接：

https://bricksbuilder.io/release/bricks-1-9-6-1/

五、 参考链接

https://patchstack.com/articles/critical-rce-patched-in-bricks-builder-theme/

https://nvd.nist.gov/vuln/detail/CVE-2024-25600