Casa > cibernético Notícias > GDPR Cookie Consent Plugin Vulnerable, Milhares de sites WordPress em Risco
CYBER NEWS

PIBR biscoito Consentimento encaixe vulnerável, Milhares de sites WordPress em Risco

Um plugin conformidade PIBR para WordPress acabou por ser vulnerável, expondo proprietários de sites para questões críticas de segurança.




PIBR biscoito Consentimento encaixe vulnerável

O plugin PIBR Biscoito Consentimento pelo desenvolvedor Cookie info Lei foi oferecido através WebToffee, Uma plataforma que oferece várias extensões para sites WordPress e WooCommerce. Tão visível pelo nome do plug-in, que se destina a fornecer a conformidade com a legislação PIBR da UE. O plugin é projetado para obter especificamente consentimento para cookies de visitantes do site. Ele também ajuda a criar um Privacidade e página de Política de cookies e permite banners de conformidade.

O plugin tem mais de 700,000 instalações ativas, de acordo com números da biblioteca WordPress. Isso significa que centenas de milhares de sites estão em risco.

A vulnerabilidade dentro do plugin foi descoberto por NinTechNet pesquisador Jerome Bruandet, e isso afeta a versão PIBR Biscoito Consentimento 1.8.2 e anterior.

A falha é definida como crítico, e é causada por cheques capacidades perdidas. Se explorada, ele pode levar a autenticado, ataques XSS e ataques de escalação de privilégios.

O que está causando a vulnerabilidade? Um ponto de extremidade AJAX vulneráveis. De acordo com pesquisadores Wordfence:

Porque o endpoint AJAX foi destinado a ser apenas acessível aos administradores, a vulnerabilidade permite que os usuários de nível de assinante para realizar uma série de ações que podem comprometer a segurança do site. tem 3 ações que a vulnerabilidade expõe aos assinantes: get_policy_pageid, autosave_contant_data, e save_contentdata.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/popular-wordpess-plugins-hack/”] Populares WordPess Plugins usadas para invadir os Blogs: Atualizar agora!

retornos get_policy_pageid o ID cargo de página de política de cookie configurado do plugin, e não é muito de um risco para os assinantes. autosave_contant_data define o conteúdo padrão que aparece na página de visualização política de cookies. O conteúdo HTML armazenado não é filtrado e pode conter cross-site scripting (XSS) payloads, os pesquisadores explicaram.

save_contentdata é cria ou atualiza o posto correspondente usado como a página PIBR Política de Cookies que os visitantes do local para escolher se quer aceitar cookies do site ou não.

A acção tem um parâmetro page_id juntamente com um parâmetro content_data que contém o conteúdo do post. O parâmetro page_id permite que o invasor para atualizar o conteúdo do post de qualquer cargo. Além disso, ele irá definir o estado da mensagem para elaborar, assim atacantes olhando para usar esta vulnerabilidade para defacement não será capaz de exibir o conteúdo do post para usuários finais normais do site. Ele poderia ser usado para mensagens remover e páginas da porção voltada para o público do site embora.

A boa notícia é que a vulnerabilidade foi corrigido na versão 1.8.3. os proprietários de sites usando o plugin deve atualizar imediatamente para a versão mais recente disponível para evitar exploits.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...