WP GDPR Compliance luka

Ostatnio w artykule WordPress i GDPR ciasteczka opisywaliśmy o wiele prostszą i sprawdzoną wtyczkę do WordPress, w kwestii zachowania zgodności z GDPR – zachęcamy do przeczytania artykułu.

Pamiętaj! W przypadku WordPress, ale i każdego CMS istotną rzeczą jest instalowanie zweryfikowanych wtyczek, częste ich aktualizacje oraz wykonywanie kopii zapasowych.

Problem dotyczy innej niż opisana przez nas wtyczki do WordPress, a mianowicie WP GDPR Compliance.

Otóż w wersji niższej niż 1.4.2. wtyczka WP GDPR Compliance wykryto bug pozwalający nieuwierzytelnionym użytkownikom na wykonanie dowolnej akcji i aktualizację dowolnej wartości bazy danych.

Jeśli formularz żądania danych jest dostępny dla nieuwierzytelnionych użytkowników, nawet nieuwierzytelnieni użytkownicy mogą dokonać zmian na naszej stronie, wykorzystując złośliwy kod.

Luka została upubliczniona dlatego kwestią czasu może być powstanie exploita wykorzystującego tę podatność kodu wtyczki.

Problem znajduje się w pliku includes/Ajax.php, który nie weryfikuje żadnej z podanych mu wartości.

Zalecamy jak najszybszą aktualizację do wersji 1.4.3

Źródło:

https://plugins.trac.wordpress.org/changeset/1970366/wp-gdpr-compliance

https://wpvulndb.com/vulnerabilities/9144

W kwestii GDPR dla WordPress polecamy nasz poradnik WordPress i GDPR ciasteczka