GDPR Cookie旨在帮助合规性,同意提出了一系列新的安全问题

一个非常流行的WordPress插件,旨在帮助遵守欧盟Cookie法律的网站,以解决一个安全缺陷,可以beplay体育能用吗允许攻击者更改网站内容并注入恶意的JavaScript代码。

GDPR Cookie同意书中发现的漏洞,其700,000多个主动装置使其成为WordPress之一最受欢迎的插件,是由于不足引起的访问控件并影响版本1.8.2及以下。

在一个邮政绘制特权升级的路径和身份验证存储的跨站点脚本(XSS),发现该错误的安全研究人员敦促用户尽快更新到最新版本(1.8.3)。

研究员Nintechnet的Jerome Bruandet说,他发现并报告了1月28日对WordPress的脆弱性,并于2月4日通知了开发商。

该插件的开发人员WebToffee六天后,2月1beplay体育能用吗0日发布了新版本。

该网站使用cookie

GDPR Cookie同意书的零售价为49美元,允许Web Admins使其网站符合欧盟的网站beplay体育能用吗通用数据保护法规(GDPR)通过启用可自定义的cookie通知,并使用现在非常熟悉的“接受”和“拒绝”选项。

在他的概念证明中,布鲁德特说ajax_policy_generator由WordPress Ajax API加载缺乏功能检查,并且未在插件的PHP代码中检查。

接受的三个值中有两个cli_policy_generator_action他说,攻击者很容易利用投入。

首先,save_contentdata值允许管理员将GDPR Cookie通知保存到数据库中,作为页面类型。

这样,订户或其他经过身份验证的用户可以通过将帖子状态从“发布”切换为“草稿”来脱机,甚至脱机。beplay体育能用吗

他们还可以删除或注入格式的文本,图像和超链接等内容。

尽管该漏洞需要在目标网站上进行攻击者进行身份验证,但在这种情况下,“经过身份验证”可能只是意味着某人是该网站的订户。beplay体育能用吗

存储的XSS同时,风险源于autosave_contant_data编辑过程中用于保存GDPR cookie信息页面的方法。

保存在cli_pg_content_dataBruandet说,数据库未得到验证,他打开了身份验证的用户注射JavaScript代码的大门,当有人访问“ http://example.com/cli-policy-preview/”页面时,该数据库将激活。

CVE ID正在悬而未决,该漏洞已被单独识别,并且分析WordFence的WordPress安全专家。

在撰写本文时,大约35%的GDPR cookie同意安装仍在在旧版本上运行容易受到瑕疵的影响。

每日swbeplay2018官网ig已联系Nintechnet以进行进一步评论。


你可能还喜欢XSS脆弱性用Tinymce修补