这个流行的WordPress网站构建器存在严重的安全问题

拥有数万用户的流行WordPress主题存在一个高严重性漏洞，允许威胁行为者运行恶意PHP代码。针对该漏洞的补丁已经发布，黑客已开始针对易受攻击的网站来禁用安全插件。

该出版物称，一位化名“snicco”的安全研究人员最近在BrickBuilder主题中发现了一个漏洞，该主题是一个拥有约25,000个活跃安装的商业网站构建器。

该漏洞是一个远程代码执行(RCE)缺陷，现在跟踪为CVE-2024-25600，并标记为“严重”。

安全平台Patchstack向BrickBuilder主题开发人员通报了调查结果，后者于2月13日发布了修复程序。在发现该漏洞时，没有任何证据表明有人在野外利用该漏洞。尽管如此，开发人员还是敦促用户将主题升级到1.9.6.1版本，因为一旦消息传出，黑客必然会开始扫描易受攻击的网站。

“截至本新闻稿发布时，没有证据表明该漏洞已被利用。然而，1.9.6.1更新延迟的时间越长，被利用的可能性就越大。”开发人员在安全公告中表示。“尽快将您的所有Bricks站点更新到最新的Bricks1.9.6.1。但至少在接下来的24小时内。越早越好。”

他们是对的，就在补丁发布一天后(即2月14日)，Patchstack报告称发现了利用尝试。Wordfence现在每天声称至少有两打攻击尝试。

WordPress是世界上最受欢迎的网站构建器，因此也是黑客的热门目标。然而，该平台本身通常被认为是安全的，免费和商业插件是最薄弱的环节。商业插件的好消息是它们得到积极维护，并且像这样的缺陷很快就能得到修复。