В журнале изменений для последнего выпуска говорится, что предыдущие версии уязвимы для инъекций S’L из-за «неправильной обработки возможного ввода пользователей в сочетании с небезопасной несерийностью». Исправления находятся в версии 1.4.3, которая включает в себя следующее:
- Исправление безопасности: Удаленная функция base64’decode()
- Исправление безопасности: Правильно избежать ввода в $wpdb-gt;prepare() функции
- Исправление безопасности: только позволяют изменять параметры WordPress, используемые плагином и пользовательскими возможностями
Ван Онс сказал, что они просили команду Plugin Directory сделать принудительное обновление, но они сказали, что это не вариант в этом случае.
WP GDPR Compliance имеет более 100 000 активных установок. По данным Wordfence, уязвимость активно используется в дикой природе, и многие пользователи сообщают о новых учетных записях администраторов, создаваемых на затронутых ими сайтах. Блог Wordfence имеет разбивку о том, как злоумышленники пользуются этими сайтами:
Мы уже начали видеть случаи живых сайтов, зараженных через этот вектор атаки. В этих случаях для установки новых учетных записей администратора на затронутые сайты используется возможность обновления значений произвольных опционов.
Используя этот недостаток для установки опции users’can’register до 1, и изменяя роль новых пользователей на «администратор», злоумышленники могут просто заполнить форму по адресу /wp-login.php?action-register и немедленно получить доступ к привилегиротому аккаунту. С этого момента, они могут изменить эти параметры обратно в нормальное русло и установить вредоносный плагин или тему, содержащую веб-оболочки или других вредоносных программ для дальнейшего заражения жертвы сайта.
Wordfence видел несколько вредоносных учетных записей администратора, присутствующих на сайтах, которые были скомпрометированы, с вариациями имени пользователя t2trollherten. Несколько WP GDPR Соответствие плагин ажиотаж пользователи прокомментировали Wordfence пост говорят, что они стали жертвами подвиг, найдя новых пользователей админ с бэкдором и файл инъекций добавил.
Плагин имеет свой собственный веб-сайт, где уязвимость была объявлена. Его создатели рекомендуют всем, кто не обновил сятк и не обновился 7 ноября 2018 года, искать изменения в своих базах данных. Наиболее очевидным симптомом атаки, вероятно, будут новые пользователи с привилегиями администратора. Любые непризнанные пользователи должны быть удалены. Они также рекомендуют восстановить полную резервную часть сайта до 6 ноября, а затем обновить до версии 1.4.3 сразу.
ПЛАгин WP GDPR Compliance позволяет пользователям добавлять флажок GDPR в контактную форму 7, гравитационные формы, WooCommerce и комментарии WordPress. Это позволяет посетителям и клиентам выбрать в позволяя сайт урегулировать свои личные данные для определенной цели. Он также позволяет посетителям запрашивать данные, хранящиеся в базе данных веб-сайта, через страницу Запрос данных, которая позволяет им запрашивать данные для удаления.
В то время как название плагина включает в себя слово «соответствие», пользователи должны отметить, что детали плагина включает в себя отказ:
«АКТИВИрование ЭТО ПЛАГИН НЕ ГАРАНТИЯ ВАС ПОЛНОЕ СООТВЕТСТВИЕ с GDPR. PLEASE CONTACT A GDPR CONSULTANT ИЛИ LAW FIRM TO ASSESS NECESSARY MEASURES».
Относительно новая поправка к разделу 9 руководящих принципов разработки плагинов ограничивает авторов плагинов, подразумевающих, что плагин может создавать, предоставлять, автоматизировать или гарантировать соблюдение законодательства. Хизер Бернс, член команды WordPress конфиденциальности, работал вместе с Микой Эпштейн в апреле прошлого года,чтобы положить это изменение в силу . Это руководство особенно важно для пользователей, чтобы помнить, когда плагин автор использует GDPR соответствия в названии плагина. Это не гарантия соответствия, просто полезный инструмент в рамках более крупного плана по защите конфиденциальности пользователей.
Оригинал: wptavern.com
