WP GDPR Соответствие Плагин патчи Привилегия Уязвимость

В конце прошлой недели плагин под названием WP GDPR Compliance разослал обновление безопасности для уязвимости эскалации привилегий, о чем было сообщено команде WordPress Plugin Directory 6 ноября. Плагин был временно удален, а затем восстановлен после того, как вопросы были исправлены в течение 24 часов его создатели, Ван Онс, WordPress развития магазина, базирующегося в Амстердаме.

В журнале изменений для последнего выпуска говорится, что предыдущие версии уязвимы для инъекций S’L из-за «неправильной обработки возможного ввода пользователей в сочетании с небезопасной несерийностью». Исправления находятся в версии 1.4.3, которая включает в себя следующее:

  • Исправление безопасности: Удаленная функция base64’decode()
  • Исправление безопасности: Правильно избежать ввода в $wpdb-gt;prepare() функции
  • Исправление безопасности: только позволяют изменять параметры WordPress, используемые плагином и пользовательскими возможностями

Ван Онс сказал, что они просили команду Plugin Directory сделать принудительное обновление, но они сказали, что это не вариант в этом случае.

WP GDPR Compliance имеет более 100 000 активных установок. По данным Wordfence, уязвимость активно используется в дикой природе, и многие пользователи сообщают о новых учетных записях администраторов, создаваемых на затронутых ими сайтах. Блог Wordfence имеет разбивку о том, как злоумышленники пользуются этими сайтами:

Мы уже начали видеть случаи живых сайтов, зараженных через этот вектор атаки. В этих случаях для установки новых учетных записей администратора на затронутые сайты используется возможность обновления значений произвольных опционов.

Используя этот недостаток для установки опции users’can’register до 1, и изменяя роль новых пользователей на «администратор», злоумышленники могут просто заполнить форму по адресу /wp-login.php?action-register и немедленно получить доступ к привилегиротому аккаунту. С этого момента, они могут изменить эти параметры обратно в нормальное русло и установить вредоносный плагин или тему, содержащую веб-оболочки или других вредоносных программ для дальнейшего заражения жертвы сайта.

Wordfence видел несколько вредоносных учетных записей администратора, присутствующих на сайтах, которые были скомпрометированы, с вариациями имени пользователя t2trollherten. Несколько WP GDPR Соответствие плагин ажиотаж пользователи прокомментировали Wordfence пост говорят, что они стали жертвами подвиг, найдя новых пользователей админ с бэкдором и файл инъекций добавил.

Плагин имеет свой собственный веб-сайт, где уязвимость была объявлена. Его создатели рекомендуют всем, кто не обновил сятк и не обновился 7 ноября 2018 года, искать изменения в своих базах данных. Наиболее очевидным симптомом атаки, вероятно, будут новые пользователи с привилегиями администратора. Любые непризнанные пользователи должны быть удалены. Они также рекомендуют восстановить полную резервную часть сайта до 6 ноября, а затем обновить до версии 1.4.3 сразу.

ПЛАгин WP GDPR Compliance позволяет пользователям добавлять флажок GDPR в контактную форму 7, гравитационные формы, WooCommerce и комментарии WordPress. Это позволяет посетителям и клиентам выбрать в позволяя сайт урегулировать свои личные данные для определенной цели. Он также позволяет посетителям запрашивать данные, хранящиеся в базе данных веб-сайта, через страницу Запрос данных, которая позволяет им запрашивать данные для удаления.

В то время как название плагина включает в себя слово «соответствие», пользователи должны отметить, что детали плагина включает в себя отказ:

«АКТИВИрование ЭТО ПЛАГИН НЕ ГАРАНТИЯ ВАС ПОЛНОЕ СООТВЕТСТВИЕ с GDPR. PLEASE CONTACT A GDPR CONSULTANT ИЛИ LAW FIRM TO ASSESS NECESSARY MEASURES».

Относительно новая поправка к разделу 9 руководящих принципов разработки плагинов ограничивает авторов плагинов, подразумевающих, что плагин может создавать, предоставлять, автоматизировать или гарантировать соблюдение законодательства. Хизер Бернс, член команды WordPress конфиденциальности, работал вместе с Микой Эпштейн в апреле прошлого года,чтобы положить это изменение в силу . Это руководство особенно важно для пользователей, чтобы помнить, когда плагин автор использует GDPR соответствия в названии плагина. Это не гарантия соответствия, просто полезный инструмент в рамках более крупного плана по защите конфиденциальности пользователей.

Хотите написать для WP таверне? Мы всегда принимаем гостевые сообщения от сообщества и ищем новых участников. Свяжитесь с нами и давайте обсудим ваши идеи.

 

Оригинал: wptavern.com

Добавить комментарий

%d такие блоггеры, как: