Понедельник, 18 января, 15:53
дома безопасность Плагин GDPR Cookie подвергает сайты Wordpress хакерским атакам!

Плагин GDPR Cookie подвергает сайты WordPress хакерским атакам!

Критически идентифицирован и решен вопросы безопасности вызвано неправильным контролем доступа в одном WordPress плагин разработан для соответствия cookie GDPR. К сожалению, однако, сотни тысяч веб-сайтов могут быть уязвимы для атак.

Плагин GDPR Cookie Consent, предоставляемый разработчиком Cookie Law Info через WebToffee, предназначен для обеспечения соответствия сайтов Общая защита данных ЕС (GDPR). В частности, это касается получения согласия на использование файлов cookie посетителями, создания страницы политики конфиденциальности и файлов cookie и активации баннеров, подтверждающих соответствие.

GDPR Cookie

Плагин содержит более 700.000 XNUMX активных установок по данным библиотеки WordPress.

Эта новость родилась 28 января 2019 года, когда исследователь NinTechNet Джером Бруанде обнаружил уязвимость, затрагивающую GDPR Cookie Consent версии 1.8.2 и более ранних. По сути, это критическая проблема, вызванная неудачными проверками возможностей, приводящими к проверенным межсайтовым сценариям (XSS) и возможному повышению привилегий.

Как произошла ошибка?

Чувствительный отвечает за все Конечная точка AJAX где неисполнение аудита означало, что было сообщено три действия: get_policy_pageid, autosave_contant_data и save_contentdata.

Согласно WordPress ", потому что конечная точка AJAX должна была быть доступна только для администраторыЭта уязвимость позволяет подписчикам выполнять ряд действий, которые могут поставить под угрозу безопасность сайта ».

Wordpress

В то время как get_policy_pageid предлагает только один идентификатор сообщения Политика cookie страницы и, следовательно, не причиняет большого ущерба, отчет autosave_contant_data - (орфографическая ошибка в коде) - функция, предназначенная для установки содержимого по умолчанию на странице предварительного просмотра политики, означает, что эта страница может быть введена с полезными нагрузками XSS.

Таким образом, вредоносные данные выполняются, когда пользователи посещают http: // / cli-policy-preview /

Кроме того, save_contentdata предназначен для использования при создании или обновлении публикации, используемой для страницы политики, чтобы отчет мог позволить злоумышленникам изменять содержимое публикации различными способами.

Использование этой энергии может привести к удалению материала или злонамеренному налогообложению, включая «форматированный текст, локальные или удаленные изображения, а также гиперссылки и пароли.

Пользователям плагина GDPR Cookie рекомендуется убедиться, что они используют последнюю версию программного обеспечения 1.8.3, чтобы оставаться защищенными. Пока эта статья не была написана, 64,5% пользователей были обновлены, при этом тысячи веб-сайтов все еще открыты.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

ЖИВЫЕ НОВОСТИ

GitHub приносит свои извинения уволенному сотруднику! Что случилось;

GitHub признал, что было неправильно увольнять еврейского чиновника, который сделал «антинацистские» комментарии по поводу беспорядков в Капитолии.

К 2030 году ИИ заменит людей кибербезопасности

Компания по безопасности Trend Micro недавно провела новый опрос, который показал, что более двух пятых (41%) ИТ-руководителей считают ...

Китайский Winnti APT нацелен на организации в России и других странах!

Исследователи в области безопасности из Positive Technologies раскрыли серию атак, осуществленных китайской командой хакеров APT, нацеленной на организации в России ...

Кремниевая долина вкладывает огромные деньги в Индию

С марта по ноябрь, даже когда COVID-19 разрушил экономики по всему миру, самый богатый человек в Индии ...
00: 02: 01

Microsoft, Salesforce и Oracle разрабатывают цифровой паспорт вакцинации

Цифровой паспорт вакцинации Covid разрабатывается совместно группой медицинских и технологических компаний, а также правительствами, авиакомпаниями и ...

Google удаляет Chrome Sync из сторонних браузеров

Google заявляет, что заблокирует использование частных API Google сторонними веб-браузерами Chromium после обнаружения этого ...

Произошла утечка медицинских карт железнодорожников и водителей

UPS и Norfolk Southern изучают, не были ли скомпрометированы медицинские карты сотрудников после публикации данных о состоянии здоровья водителей грузовиков и сотрудников ...

Siemens: уязвимости продукта допускают выполнение произвольного кода!

На прошлой неделе компания Siemens проинформировала своих клиентов, что некоторые из ее решений для разработки продуктов подвержены двенадцати уязвимостям, ...

DuckDuckGo: Акцент на конфиденциальности привел к увеличению количества пользователей

Поисковая система DuckDuckGo, которая фокусируется на защите конфиденциальности пользователей, значительно выросла, достигнув 102 миллионов ...

WordPress: Уязвимости в плагине Orbit Fox позволяют скачивать сайты!

Эксперты по безопасности из Wordfence обнаружили две уязвимости в плагине WordPress Orbit Fox. Это уязвимость, связанная с повышением привилегий и ...