Ha használod a „WP GDPR Compliance” bővítményt és az 1.4.2 vagy korábbi verzió fut a WordPress honlapon, akkor érdemes minél előbb frissíteni. A bővítmény egy nem régiben felfedezett sebezhetősége ugyanis lehetőséget ad arra, hogy a bővítményt futtató WordPress oldalakat könnyedén feltörjék. Tegnapi nap folyamán közölt le egy cikket a Wordfence, miszerint:
… WordPress plugin-adattárból való eltávolítását követően a népszerű WP GDPR Compliance bővítmény kiadta az 1.4.3-as verziót, amely több kritikus biztonsági rést talált a korábbi verzióban. Az írás idején a plugin visszaállításra került a WordPress repository-ban, és több mint 100 000 aktív telepítést tartalmaz. A bejelentett biztonsági rések lehetővé teszik a nem hitelesített támadók számára a kiváltságokat szerezzen, lehetővé téve számukra a fertőzött webhelyek további fertőzését …
Sérülékenység:
Tipikus használat esetén a plugin néhány olyan műveletet kezel, amelyeket a WordPress admin-ajax.php funkciójával lehet elküldeni. Ezek a műveletek magukban foglalják a GDPR által igényelt adatokhoz való hozzáférési kérelmeket és törlési kérelmeket, de tartalmaznak funkcionalitást is a plugin beállításainak a WordPress adminisztrátori műszerfalon belüli módosításához ….
Forrás: https://www.wordfence.com
A teljes cikk elolvasható angolul a következő linkre kattintva: Privilege Escalation Flaw In WP GDPR Compliance Plugin Exploited In The Wild