Huis > Cyber ​​Nieuws > GDPR Cookie Consent Plugin Vulnerable, Duizenden WordPress Sites at Risk
CYBER NEWS

GDPR Cookie Consent Plugin Kwetsbaar, Duizenden WordPress Sites at Risk

Een GDPR naleving plugin voor WordPress bleek kwetsbaar te zijn, blootstellen van website-eigenaren om kritieke beveiligingsproblemen.




GDPR Cookie Consent Plugin Kwetsbaar

De GDPR Cookie Consent plugin door de Cookie Law Info ontwikkelaar is aangeboden door de WebToffee, een platform dat biedt verschillende extensies voor WordPress en WooCommerce websites. Zoals zichtbaar door de naam van de plugin, het is bedoeld om compliancy te voorzien GDPR wetgeving van de EU. De plugin is ontworpen om specifiek te verkrijgen toestemming voor cookies van websitebezoekers. Het helpt ook een Privacy en Cookies politiek pagina en maakt het mogelijk de naleving banners.

De plugin heeft meer dan 700,000 actieve installaties, volgens nummers in de WordPress bibliotheek. Dit betekent dat honderdduizenden websites in gevaar.

Het lek binnen de plugin werd ontdekt door NinTechNet onderzoeker Jerome Bruandet, en raakt GDPR Cookie Consent versie 1.8.2 en eerdere.

De fout wordt gedefinieerd als kritisch, en wordt veroorzaakt door een afgebroken mogelijkheden controles. Als uitgebuit, het kan leiden tot geverifieerde, XSS-aanvallen en rechten escalatie aanvallen.

Wat is de oorzaak van de kwetsbaarheid? Een kwetsbare AJAX eindpunt. Volgens Wordfence onderzoekers:

Omdat de AJAX eindpunt was bedoeld om enkel toegankelijk zijn, de kwetsbaarheid maakt abonnee-level gebruikers in staat om een ​​aantal acties dat de veiligheid van de site in gevaar kunnen brengen uit te voeren. Er zijn 3 acties die de kwetsbaarheid bloot aan abonnees: get_policy_pageid, autosave_contant_data, en save_contentdata.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/popular-wordpess-plugins-hack/”] Populaire WordPess Plugins Used To Blogs Hack: Update nu!

get_policy_pageid de rendementen van het bericht-ID van geconfigureerde cookie-beleid pagina van de plugin, en is niet veel van een risico voor abonnees. autosave_contant_data definieert de standaard inhoud die in de cookie-beleid voorbeeldpagina verschijnt. De opgeslagen HTML-inhoud is ongefilterd en kan cross-site scripting bevatten (XSS) payloads, de onderzoekers verklaard.

save_contentdata wordt creëert of actualiseert de overeenkomstige paal gebruikt als de pagina BBPR Cookie Beleid dat bezoekers van de site te bekijken om te kiezen of om cookies niet accepteren van de site of.

De actie vindt een page_id parameter samen met een content_data parameter die de functie-inhoud bevat. De page_id parameter kan de aanvaller naar de post inhoud van elk bericht te actualiseren. Bovendien, het zal de post status in te stellen op te stellen, zodat hackers op zoek naar deze kwetsbaarheid voor inbreken gebruiken zal niet in staat zijn om de post de inhoud naar de normale eindgebruikers van de site weer te geven. Het zou kunnen worden gebruikt voor het verwijderen posts en pagina's uit het publiek gerichte gedeelte van de site al.

Het goede nieuws is dat de kwetsbaarheid in versie vastgesteld 1.8.3. Website-eigenaren met behulp van de plugin moet direct updaten naar de nieuwste versie beschikbaar is voor exploits te voorkomen.

Milena Dimitrova

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...