WordPress的Bricks主题存在一个严重的安全漏洞，恶意威胁行为者正在积极利用该漏洞在易受攻击的安装上运行任意PHP代码。

该漏洞被跟踪为CVE-2024-25600（CVSS评分：9.8），使未经身份验证的攻击者能够实现远程代码执行。它影响Bricks的所有版本，包括1.9.6版本及更早版本。

该漏洞已在2024年2月13日发布的1.9.6.1版本中得到解决，这仅仅是在WordPress安全提供商Snicco在2月10日报告了该漏洞几天后。

尽管尚未发布PoC（概念验证）利用程序，但Snicco和Patchstack都发布了技术细节，指出存在于prepare_query_vars_from_settings()函数中的潜在易受攻击的代码。

具体而言，涉及使用称为“一次性令牌”的安全令牌来验证权限，然后可用于传递任意命令以执行，有效地允许恶意威胁行为者控制目标站点。

Patchstack表示，一次性令牌值在WordPress网站前端是公开可用的，而且没有适当的角色检查。