公告:123目录网为广大站长提供免费收录网站服务,我们将免费进行到底,如需快审服务(10元/站)请联系站长QQ,可自助充值发布。

点击这里在线咨询客服
新站提交
  • 网站:315
  • 待审:0
  • 小程序:12
  • 文章:35791
  • 会员:69

近日,超过700000个网站所使用的WordPress GDPR Cookie Consent插件修复了一个高危漏洞,可让攻击者非法删除和更改网站内容,并往网站注入恶意JS代码(由于访问控制不当)。

GDPR Cookie Consent plugin可帮助网站管理员展示可定制的位于页眉或页脚的Cookie项目,以显示其网站符合欧洲所指定的数据保护法律GDPR的要求。

这个由WebToffee维护的插件也是wordpress插件库中最受欢迎的100个插件之一,根据其WordPress库的实时安装数,有超过700000个站点使用了它。

WordPress法律合规插件曝出漏洞

WordPress中的跨站脚本和权限提升

这个漏洞被认为是高危,但目前还没有CVE的ID,主要影响1.8.2或更早的版本。WebToffee在2月10日发布了最新的1.8.3版本,而在六天前,NinTechNet的安全研究员Jerome Bruandet向插件开发者报告了这个漏洞。

WordPress安全公司WordFence在WebToffee修补了这个漏洞后,也发现了这个漏洞。该公司表示,这个漏洞可让订阅级别的用户执行一些可能危及网站安全的操作。

Bruandet表示,通过认证的用户,比如普通订阅者,可以通过将他们的状态从published改为draft,将现有的页面或文章下线。

这个漏洞是由cli_policy_generatorAJAX调用中的访问控制缺陷所导致的,它可让订阅者接触到get_policy_pageid、autosave_contant_data和save_contentdata等敏感操作。

例如autosave_contant_data方法用于管理员在后台保存GDPR cookie信息页面的数据。由于它会将数据保存到cli_pg_content_data这个数据库字段而不经过任何安全验证,导致攻击者可往其中注入恶意JS代码,实现XSS攻击。

在补丁版本发布后的近两天里,已经有76000多用户更新了他们的网站,但还有60多万用户仍未有所动作。

标签:WordPress法律合规插件曝出漏洞

下一篇:【帝国cms代码】WordPress后台出现多篇英文文章

上一篇:【帝国cms代码】WordPress修改用户名的方法

相关文章

  575

注册时间:

网站:1 个   小程序:3 个  文章:12 篇

  • 315

    网站

  • 12

    小程序

  • 35791

    文章

  • 69

    会员

赶快注册账号,推广您的网站吧!
最新入驻小程序

数独大挑战2018-06-03

数独一种数学游戏,玩家需要根据9

答题星2018-06-03

您可以通过答题星轻松地创建试卷

全阶人生考试2018-06-03

各种考试题,题库,初中,高中,大学四六

运动步数有氧达人2018-06-03

记录运动步数,积累氧气值。还可偷

每日养生app2018-06-03

每日养生,天天健康

体育训练成绩评定2018-06-03

通用课目体育训练成绩评定