Bricks Visual Site Builder for WordPress 最近修补了一个严重程度为 9.8/10 的严重漏洞,该漏洞目前正被积极利用。
积木建造者
Bricks Builder 是一种流行的 WordPress 开发主题,可以在数小时内轻松创建有吸引力且性能快速的网站,如果没有它,从头开始将花费高达 20,000 美元的开发时间。 CSS 的易用性和开发人员组件使其成为开发人员的热门选择。
未经身份验证的 RCE 漏洞
Bricks Builder 受到远程代码执行 (RCE) 漏洞的影响。 它在通用漏洞评分系统 (CVSS) 上的评分为 9.8/10,几乎是最高级别。
该漏洞特别严重的原因在于它是一个未经身份验证的漏洞,这意味着黑客不需要获得权限凭据即可利用该漏洞。 任何知道该漏洞的黑客都可以利用它,在这种情况下这意味着攻击者可以执行代码。
字栅栏 描述 可能发生什么:
“这使得未经身份验证的攻击者可以在服务器上执行代码。”
该漏洞的详细信息尚未正式发布。
据 Bricks Builder 官方介绍 变更日志:
“我们刚刚发布了 Bricks 1.9.6.1 的强制性安全更新。
WordPress 领域的一位领先安全专家刚刚向我们提请注意此漏洞,我们立即开始工作,现在为您提供经过验证的补丁。
截至本版本发布时,没有证据表明该漏洞已被利用。 然而,1.9.6.1 更新延迟的时间越长,被利用的可能性就越大。
我们建议您立即更新所有 Bricks 网站。”
漏洞正在被积极利用
根据亚当·J·汉弗莱斯 (Adam J. Humphreys) 的说法(领英),Web 开发公司 Making 8 的创始人,该漏洞正在被积极利用。 据称,Bricks Builder Facebook 社区正在向受影响的用户提供有关如何从该漏洞中恢复的信息。
Adam J. Humphrey 对 SEJ 的评论:
“每个人都受到了严重打击。 没有良好安全性的主机上的人会被利用。 现在很多人都在处理这个问题。 这是一场血战,它是排名第一的建造者。
我有很强的安全感。 我很高兴我非常保护客户。 直到这一切似乎都太过分了。
没有良好安全性的主机上的人会被利用。
安装后的 SiteGround 具有 WordPress 安全性。 他们还拥有 CDN,并且可以通过插件轻松迁移。 我发现他们的支持比最昂贵的主机响应更快。 SiteGround 的 WordPress 安全插件很好,但我也将其与 Wordfence 结合起来,因为保护永远不会有坏处。”
建议:
我们鼓励所有 Bricks Builder 用户更新到最新版本 1.9.6.1。
Bricks Builder 变更日志公告建议:
“立即更新:尽快将所有 Bricks 站点更新到最新的 Bricks 1.9.6.1。 但至少在接下来的 24 小时内。 越早越好。
备份警告:如果您使用网站备份,请记住它们可能包含旧的、易受攻击的 Bricks 版本。 从这些备份进行恢复可能会重新引入该漏洞。 请使用安全的 1.9.6.1 版本更新您的备份。”
这是一个正在发展的事件,更多信息将在已知后添加。
1708222894
2024-02-18 01:36:45
#Bricks #Builder #针对 #WordPress #RCE #漏洞