Une faille de sécurité critique dans le thème Bricks pour WordPress est activement exploitée par des acteurs malveillants pour exécuter du code PHP arbitraire sur des installations sensibles.
La faille, identifiée comme CVE-2024-25600 (score CVSS : 9,8), permet à des attaquants non authentifiés d’exécuter du code à distance. Cela affecte toutes les versions des Bricks jusqu’à la 1.9.6 incluse.
Il a été résolu par les développeurs de thèmes dans version 1.9.6.1 publié le 13 février 2024, quelques jours seulement après que le fournisseur de sécurité WordPress Snicco a signalé la faille le 10 février.
Bien qu’aucun exploit de preuve de concept (PoC) n’ait été publié, les détails techniques ont été libéré par Snicco et Patchstack, notant que le code vulnérable sous-jacent existe dans la fonction prepare_query_vars_from_settings().
Plus précisément, cela concerne l’utilisation de jetons de sécurité appelés « nonces » pour vérifier les autorisations, qui peuvent ensuite être utilisés pour transmettre des commandes arbitraires à exécuter, permettant ainsi à un acteur menaçant de prendre le contrôle d’un site ciblé.
La valeur occasionnelle est publiquement disponible sur le frontend d’un site WordPress, Patchstack ditajoutant qu’aucune vérification de rôle adéquate n’est appliquée.
« Il ne faut jamais se fier aux sources occasionnelles pour l’authentification, l’autorisation ou le contrôle d’accès », WordPress mises en garde dans sa documentation. « Protégez vos fonctions en utilisant current_user_can() et supposez toujours que les objets occasionnels peuvent être compromis. »
Société de sécurité WordPress Wordfence dit il a détecté plus de trois douzaines de tentatives d’attaque exploitant la faille au 19 février 2024. Les tentatives d’exploitation auraient commencé le 14 février, un jour après la divulgation publique.
La majorité des attaques proviennent des adresses IP suivantes :
- 200.251.23[.]57
- 92.118.170[.]216
- 103.187.5[.]128
- 149.202.55[.]79
- 5.252.118[.]211
- 91.108.240[.]52
On estime que Bricks compte environ 25 000 installations actuellement actives. Il est recommandé aux utilisateurs du plugin d’appliquer les derniers correctifs pour atténuer les menaces potentielles.