漏洞名称：WordPress Bricks Builder 远程命令执行漏洞

漏洞描述：2024 年 2 月 26 日，深瞳漏洞实验室监测到一则 Bricks Builder 存在远程命令执行漏洞的信息，该漏洞是由于 Bricks Builder 对 PHP 中的 eval 函数使用不当，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行攻击，最终获取服务器权限。

漏洞编号：CVE-2024-25600，漏洞威胁等级：高危。

组件介绍：

Bricks Builder 是一款用于 WordPress 的开发主题，提供直观的拖放界面，用于设计和构建 WordPress 网站。

影响范围：

目前受影响的 Bricks Builder 版本：

WordPress Bricks Builder ≤ 1.9.6

利用条件：

1、用户认证：无需用户认证

2、前置条件：默认配置

3、触发方式：远程

<综合评定利用难度>：简单，无需授权。

<综合评定威胁等级>：高危，能获取服务器权限。

官方修复建议：

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

链接如下：

https://wordpress.org/