Wer das WordPress-Plugin GDPR Cookie Consent in einer veralteten Version nutzt, macht seine Website angreifbar. Angreifer könnten eine als "kritisch" eingestufte Sicherheitslücke – eine CVE-Nummer wurde noch nicht vergeben – für eine persistente XSS-Attacke ausnutzen.
Die Ausgabe 1.8.3 ist abgesichert. GDPR Cookie Consent weist derzeit der Plugin-Website zufolge 700.000 aktive Installationen auf. Mit der Erweiterung kann man mit WordPress erstellte Internetseiten für die Datenschutz-Grundverordnung (DSGVO) fit machen.
Die Schwachstelle ist ein AJAX Endpoint, der eigentlich nur für Admins zugänglich sein sollte. Aufgrund einer mangelnden Prüfung könnten darauf aber auch authentifizierte Angreifer zugreifen und Websites kompromittieren. Dafür soll es ausreichen, wenn ein Angreifer Abonnent einer anfälligen Website ist. Wie das im Detail vonstattengehen kann, führen Sicherheitsforscher von NinTechNet in einem Beitrag aus.
Quelle: Kritische Sicherheitslücke im DSGVO-Plugin GDPR Cookie Consent für WordPress | heise online