Aanvallers maken momenteel misbruik van een recentelijk gepatchte kwetsbaarheid in de Bricks Builder plugin voor WordPress om websites te hacken en malware te implementeren, zo meldt het WordPress beveiligingsbedrijf Patchstack.
Het probleem betreft een kwetsbaarheid voor externe code-uitvoering (RCE) die kan worden misbruikt zonder authenticatie om willekeurige PHP-code uit te voeren op een getroffen WordPress-website. De bug werd ontdekt in de ‘prepare_query_vars_from_settings’ functie, die wordt aangeroepen vanuit verschillende processen in de code, waaronder de Bricks\Query class. Deze class beheert de weergave van WordPress postqueries en maakt gebruik van de eval-functie van PHP.
Een analyse onthulde dat er geen juiste machtigingen of rolcontroles werden toegepast wanneer een functie die een REST API-eindpunt afhandelt, betrokken was. Omdat de functie alleen controleert op een nonce-waarde en Bricks een geldige nonce uitvoert op de frontend van een WordPress-site, zelfs voor niet-geauthenticeerde gebruikers, kan een aanvaller gemakkelijk de nonce ophalen en de RCE activeren.
Op maandag publiceerde de beveiligingsonderzoeker proof-of-concept (PoC) code voor deze bug. Patchstack wijst erop dat deze kwetsbaarheid kan worden gereproduceerd met een niet-geauthenticeerde gebruiker met de standaard installatieconfiguratie van het thema. Kwaadwillenden maken al gebruik van de kwetsbaarheid en implementeren in sommige gevallen malware die specifiek is ontworpen om beveiligingsplugins uit te schakelen. Bricks heeft patches doorgevoerd met het uitbrengen van Bricks Builder versie 1.9.6.1, en dringt er bij gebruikers op aan om zo snel mogelijk bij te werken.
