Bricks Visual Site Builder pour WordPress a récemment corrigé une vulnérabilité de gravité critique notée 9.8/10 qui est activement exploitée en ce moment.

Constructeur de briques

Bricks Builder est un thème de développement WordPress populaire qui facilite la création de sites Web attrayants et rapides en quelques heures, ce qui coûterait jusqu'à 20,000 XNUMX $ de temps de développement sans lui. La facilité d'utilisation et les composants de développement pour CSS en ont fait un choix populaire auprès des développeurs.

Vulnérabilité RCE non authentifiée

Bricks Builder est affecté par une vulnérabilité d'exécution de code à distance (RCE). Il est noté 9.8/10 sur le Common Vulnerability Scoring System (CVSS), qui est presque le niveau le plus élevé.

Ce qui rend cette vulnérabilité particulièrement grave, c'est qu'il s'agit d'une vulnérabilité non authentifiée, ce qui signifie qu'un pirate informatique n'a pas besoin d'obtenir des informations d'autorisation pour exploiter la vulnérabilité. Tout pirate informatique connaissant la vulnérabilité peut l’exploiter, ce qui signifie dans ce cas qu’un attaquant peut exécuter du code.

Wordfence décrit que peut-il arriver :

"Cela permet à des attaquants non authentifiés d'exécuter du code sur le serveur."

Les détails de la vulnérabilité n'ont pas été officiellement publiés.

Selon le constructeur officiel de Bricks changelog:

« Nous venons de publier une mise à jour de sécurité obligatoire avec Bricks 1.9.6.1.

Un expert en sécurité de premier plan dans l’espace WordPress vient de porter cette vulnérabilité à notre attention, et nous nous sommes immédiatement mis au travail, vous fournissant désormais un correctif vérifié.

Au moment de la publication de cette version, rien ne prouve que cette vulnérabilité ait été exploitée. Cependant, le potentiel d'exploitation augmente à mesure que la mise à jour vers la version 1.9.6.1 est retardée.

Nous vous conseillons de mettre à jour tous vos sites Bricks immédiatement.

La vulnérabilité est activement exploitée

Selon Adam J. Humphreys (LinkedIn), fondateur de la société de développement Web Making 8, la vulnérabilité est activement exploitée. La communauté Facebook Bricks Builder répondrait aux utilisateurs concernés en leur fournissant des informations sur la manière de se remettre de la vulnérabilité.

Adam J. Humphrey a commenté à SEJ :

« Tout le monde est durement touché. Les personnes hébergées sur des hôtes sans bonne sécurité ont été exploitées. Beaucoup de gens y font face maintenant. C'est un bain de sang et c'est le constructeur numéro un.

J'ai une forte sécurité. Je suis tellement heureuse d'être très protectrice envers les clients. Tout cela semblait exagéré jusqu’à présent.

Les personnes hébergées sur des hôtes sans bonne sécurité ont été exploitées.

SiteGround, une fois installé, dispose de la sécurité WordPress. Ils disposent également d'un CDN et de migrations faciles avec leur plugin. J'ai trouvé leur support plus réactif que les hébergeurs les plus chers. Le plugin de sécurité WordPress sur SiteGround est bon mais je le combine également avec Wordfence car la protection ne fait jamais de mal.

Nos recommandations:

Tous les utilisateurs de Bricks Builder sont encouragés à mettre à jour vers la dernière version, 1.9.6.1.

L'annonce du journal des modifications de Bricks Builder conseille :

« Mettre à jour maintenant : mettez à jour tous vos sites Bricks avec la dernière version Bricks 1.9.6.1 dès que possible. Mais au moins dans les prochaines 24 heures. Le plus tôt le mieux.

Attention en matière de sauvegarde : si vous utilisez des sauvegardes de sites Web, n'oubliez pas qu'elles peuvent inclure une version plus ancienne et vulnérable de Bricks. La restauration à partir de ces sauvegardes peut réintroduire la vulnérabilité. Veuillez mettre à jour vos sauvegardes avec la version sécurisée 1.9.6.1.

Il s'agit d'un événement en développement, plus d'informations seront ajoutées lorsqu'elles seront connues.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.searchenginejournal.com/bricks-builder-for-wordpress-rce-vulnerability/508499/