De kritische beveiligingsproblemen van de WordPressplugin GDPR Cookie Consent zijn opgelost met een nieuwe patch. Toch zijn honderdduizenden websites nog altijd kwetsbaar voor een aanval.
De GDPR Cookie Consent plugin is ontwikkeld als hulpmiddel voor websites om te voldoen aan de Europese GDPR-wet. De plugin is vooral gericht op het verkrijgen van toestemming voor het verzamelen van cookies van bezoekers, het maken van een pagina voor privacy- en cookiebeleid en het instellen van banners voor het nakomen van de cookiewetgeving.
Op 28 januari dit jaar ontdekte Jerome Bruandet, onderzoeker bij NinTechNet een kwetsbaarheid die GDPR Cookie Consent versie 1.8.2 (op dat moment de nieuwste versie) en alle eerdere versies aantastte. In totaal hebben meer dan 700.000 actieve gebruikers de plugin geïnstalleerd.
Aard van de kwetsbaarheid
De kwetsbaarheid in de GDPR Cookie Consent plugin is een kritiek probleem, veroorzaakt door ontbrekende checks. Dat zorgde voor geauthentiseerde opgeslagen cross-site scripting (XXS) met een mogelijke escalatie van privileges.
De bron van het probleem ligt bij een kwetsbaar AJAX-eindpunt. Het AJAX-eindpunt zou alleen toegankelijk moeten zijn voor beheerders. Door de kwetsbaarheid konden ook reguliere aangemelde gebruikers acties uitvoeren die de veiligheid van een website mogelijk in gevaar brengen.
Vanwege een gebrek aan controles, werden drie acties blootgesteld: get_policy_pageid, autosave_contant_data en save_contentdata. Met deze acties kunnen aanvallers onder andere de inhoud van de privacyverklaring op een website veranderen of deze pagina offline halen.
Duizenden sites lopen nog gevaar
Nadat de kritieke kwetsbaarheid op 4 februari werd gemeld aan de ontwikkelaar, werd de plugin tijdelijk offline gehaald. Op 10 februari werd de patch beschikbaar gemaakt en konden gebruikers hun plugin updaten.
Om mogelijke aanvallen te voorkomen, wordt gebruikers van de GDPR Cookie Consent plugin sterk aangeraden om de nieuwste versie van de plugin, versie 1.8.3. te installeren. Op dit moment heeft 64,5 procent van de gebruikers de patch al geïnstalleerd. Een merendeel, maar nog altijd lopen duizenden websites waarop de update nog niet is geïnstalleerd gevaar.