Bricks Visual Site Builder for WordPress 最近修復了一個嚴重程度為 9.8/10 的嚴重漏洞,目前該漏洞正被積極利用。
砌磚工
Bricks Builder 是一種流行的 WordPress 開發主題,可以在數小時內輕鬆建立有吸引力的、快速執行的網站,如果沒有它,從頭開始建立將花費高達 20,000 美元的開發時間。 CSS 的易用性和開發人員元件使其成為開發人員的熱門選擇。
未經身份驗證的 RCE 漏洞
Bricks Builder 受到遠端程式碼執行 (RCE) 漏洞的影響。 它在通用漏洞評分系統(CVSS)上的得分為9.8/10,幾乎是最高水準。
該漏洞特別糟糕的是,它是一個未經身份驗證的漏洞,這意味著駭客不需要獲得權限憑證即可利用該漏洞。 任何了解該漏洞的駭客都可以利用它,在這種情況下意味著攻擊者可以執行程式碼。
Wordfence 描述了可能發生的情況:
“這使得未經身份驗證的攻擊者可以在伺服器上執行程式碼。”
該漏洞的詳細資訊尚未正式發布。
根據官方 Bricks Builder 變更日誌:
「我們剛剛發布了 Bricks 1.9.6.1 的強制性安全更新。
WordPress 領域的一位領先安全專家剛剛向我們提請注意此漏洞,我們立即開始工作,立即為您提供經過驗證的修補程式。
截至本版本發佈時,沒有證據表明此漏洞已被利用。 然而,1.9.6.1 更新延遲的時間越長,被利用的可能性就越大。
我們建議您立即更新所有 Bricks 網站。”
該漏洞正在被積極利用
Web 開發公司 Making 8 的創辦人 Adam J. Humphreys (LinkedIn) 表示,該漏洞正在積極利用。 據稱,Bricks Builder Facebook 社群正在向受影響的用戶提供有關如何從該漏洞中恢復的資訊。
Adam J. Humphrey 對 SEJ 的評論:
「每個人都錯了。沒有良好安全保障的主機人被剝削了。現在很多人都在處理這個問題。這是一場大屠殺,而且它是排名第一的建設者。
我有很強的安全感。 我很高興能夠非常保護顧客。 在那之前一切似乎都超越了極限。
沒有良好安全性的主機上的人會被利用。
安裝後的 SiteGround 具有 WordPress 安全性。 他們還擁有 CDN,並且可以透過插件輕鬆遷移。 我發現他們的支援比更昂貴的主機更敏感。 SiteGround 的 WordPress 安全插件很好,但我也將它與 Wordfence 結合起來,因為保護永遠不會有壞處。”
建議:
我們鼓勵所有 Bricks Builder 使用者升級到最新版本 1.9.6.1。
Bricks Builder 的變更日誌公告報告:
「立即更新:盡快將所有 Bricks 站點更新到最新的 Bricks 1.9.6.1。但至少在接下來的 24 小時內。越早越好。
備份警告:如果您使用網站備份,請記住它們可能包含較舊且易受攻擊的 Bricks 版本。 從這些備份進行還原可能會重新引入該漏洞。 請將您的備份更新至安全版本 1.9.6.1”。
這是一個正在發展的事件,更多資訊將在已知後添加。
