Plugin WordPress GDPR Cookie Consent corrigiu uma falha crítica

Confira os detalhes do anúncio de que o plugin Wordpress GDPR Cookie Consent corrigiu uma falha crítica que permitia que invasores em potencial excluíssem e alterassem conteúdo!

O plugin WordPress corrigiu uma falha crítica que permitia que invasores em potencial excluíssem e alterassem conteúdo. Confira os detalhes dessa ameaça.

O plug-in GDPR Cookie Consent foi desenvolvido para permitir que os administradores do site exibam banners personalizáveis ​​de cabeçalho ou rodapé para mostrar a conformidade com a lei de cookies da UE (GDPR) do site.

plugin de consentimento de cookies do wordpress corrige falha critica - Plugin Wordpress GDPR Cookie Consent corrigiu uma falha crítica
Plugin WordPress GDPR Cookie Consent corrigiu uma falha crítica

Esse plug-in, mantido pelo WebToffee, também está entre os 100 mais populares no repositório de plug-ins do WordPress e é usado por mais de 700.000 sites, de acordo com as instalações ativas que contam com a entrada da biblioteca do WordPress.

Recentemente, foram encontrados erros críticos nesse plug-in que permitem que invasores em potencial excluam e alterem conteúdo e injetem código JavaScript malicioso devido a controles de acesso inadequados.

Plugin WordPress GDPR Cookie Consent corrigiu uma falha crítica

A vulnerabilidade classificada como crítica ainda não possui um ID do CVE e afeta a versão 1.8.2 e anterior. O WebToffee o corrigiu com o lançamento da versão 1.8.3 em 10 de fevereiro, seis dias depois de ter sido relatado ao desenvolvedor do plugin pelo pesquisador de segurança da NinTechNet, Jerome Bruandet.

A empresa de segurança WordPress WordFence, que também identificou de forma independente essa falha depois de corrigida pela WebToffee, diz que “a vulnerabilidade permite que os usuários no nível do assinante executem várias ações que podem comprometer a segurança do site”.

Sobre isso, Bruandet explicou que:

“Um usuário autenticado, como um assinante, pode usá-lo para colocar qualquer página ou publicação existente (ou todo o site) offline, alterando seu status de ‘publicado’ para ‘rascunho’. Além disso, é possível excluir ou alterar seu conteúdo. O conteúdo injetado pode incluir texto formatado, imagens locais ou remotas, além de hiperlinks e códigos de acesso.”

Os possíveis invasores também podem ter a falha de injetar código JavaScript que será carregado e executado automaticamente “sempre que alguém autenticado ou não visitar a página /cli-policy-preview/”.

A vulnerabilidade é causada por um problema de Controle de acesso inadequado na chamada AJAX cli_policy_generator, que expõe as ações get_policy_pageid, autosave_contant_data e save_contentdata aos assinantes.

Nos últimos dois dias desde o lançamento da versão corrigida, pouco mais de 76.000 usuários já atualizaram suas instalações, com mais de 600.000 ainda precisando proteger seus sites contra possíveis ataques na instalação da versão mais .

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Ajude a manter o Blog do Edivaldo - Faça uma doação

Se você gosta do conteúdo do Blog, você pode ajudar a manter o site simplesmente fazendo uma doação única, esporádica ou mensal, usando uma das opções abaixo:

Doação usando Paypal

Doação usando PagSeguro
Outras formas de ajudar a manter o Blog do Edivaldo