Casa > cibernético Notícias > Vulnerável de plug-in de consentimento de cookie de GDPR, Milhares de sites WordPress em Risco
CYBER NEWS

PIBR biscoito Consentimento encaixe vulnerável, Milhares de sites WordPress em Risco

Um plugin conformidade PIBR para WordPress acabou por ser vulnerável, expondo proprietários de sites para questões críticas de segurança.




PIBR biscoito Consentimento encaixe vulnerável

O plugin PIBR Biscoito Consentimento pelo desenvolvedor Cookie info Lei foi oferecido através WebToffee, Uma plataforma que oferece várias extensões para sites WordPress e WooCommerce. Tão visível pelo nome do plug-in, que se destina a fornecer a conformidade com a legislação PIBR da UE. O plugin é projetado para obter especificamente consentimento para cookies de visitantes do site. Ele também ajuda a criar um Privacidade e página de Política de cookies e permite banners de conformidade.

O plugin tem mais de 700,000 instalações ativas, de acordo com números da biblioteca WordPress. Isso significa que centenas de milhares de sites estão em risco.

A vulnerabilidade dentro do plugin foi descoberto por NinTechNet pesquisador Jerome Bruandet, e isso afeta a versão PIBR Biscoito Consentimento 1.8.2 e anterior.

A falha é definida como crítico, e é causada por cheques capacidades perdidas. Se explorada, ele pode levar a autenticado, ataques XSS e ataques de escalação de privilégios.

O que está causando a vulnerabilidade? Um ponto de extremidade AJAX vulneráveis. De acordo com pesquisadores Wordfence:

Porque o endpoint AJAX foi destinado a ser apenas acessível aos administradores, a vulnerabilidade permite que os usuários de nível de assinante para realizar uma série de ações que podem comprometer a segurança do site. tem 3 ações que a vulnerabilidade expõe aos assinantes: get_policy_pageid, autosave_contant_data, e save_contentdata.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/popular-wordpess-plugins-hack/”] Populares WordPess Plugins usadas para invadir os Blogs: Atualizar agora!

retornos get_policy_pageid o ID cargo de página de política de cookie configurado do plugin, e não é muito de um risco para os assinantes. autosave_contant_data define o conteúdo padrão que aparece na página de visualização política de cookies. O conteúdo HTML armazenado não é filtrado e pode conter cross-site scripting (XSS) payloads, os pesquisadores explicaram.

save_contentdata é cria ou atualiza o posto correspondente usado como a página PIBR Política de Cookies que os visitantes do local para escolher se quer aceitar cookies do site ou não.

A acção tem um parâmetro page_id juntamente com um parâmetro content_data que contém o conteúdo do post. O parâmetro page_id permite que o invasor para atualizar o conteúdo do post de qualquer cargo. Além disso, ele irá definir o estado da mensagem para elaborar, assim atacantes olhando para usar esta vulnerabilidade para defacement não será capaz de exibir o conteúdo do post para usuários finais normais do site. Ele poderia ser usado para mensagens remover e páginas da porção voltada para o público do site embora.

A boa notícia é que a vulnerabilidade foi corrigido na versão 1.8.3. os proprietários de sites usando o plugin deve atualizar imediatamente para a versão mais recente disponível para evitar exploits.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo