Schwachstellen in WordPress-Plugins: GDPR Cookie Consent und Profile Builder

Publiziert am 14. Februar 2020 von Günter Born

Kurze Information für Nutzer von WordPress, die die Plugins GDPR Cookie Consent und Profile Builder im Einsatz haben. Beide Plugins haben in älteren Versionen kritische Sicherheitslücken.

Anzeige

Plugin: GDPR Cookie Consent

Die Meldung ging mir bereits am 12. Februar 2020 von WordFence zu. Unsachgemäße Zugriffskontrollen führen zu einer gespeicherten Cross-Site-Scripting-Schwachstelle im GDPR-Plugin Cookie Consent, das derzeit auf über 700.000 WordPress-Sites installiert ist.

GDPR Cookie Consent ist ein Plugin, das Websitenbetreibern die Möglichkeit zur Anzeige eines Cookie-Hinweises einzublenden (ich nutze ein anderes Plugin, EU Cookie Law). Das Plugin ermöglicht Besuchern der Website, die Cookies dieser Website zu überprüfen und ihre Zustimmung zum Empfang der Cookies zu erteilen. Das Plugin wird von vielen Seitenbetreibern eingesetzt und hat derzeit die oben erwähnten 700.000 aktive Installationen.

Details über die Schwachstelle wurden bekannt, nachdem das Plugin aus dem WordPress-Repository entfernt wurde, auf der Plugin-Seite gab es den Hinweis "in Erwartung einer vollständigen Überprüfung" werde das Plugin nicht angeboten. WordFence hat sich des Themas angenommen und dann am 12. Februar 2020 die Details offen gelegt, um das Bewusstsein für dieses Problem zu schärfen. In der neuen Version 1.8.3 ist die Schwachstelle im Plugin geschlossen. Nintech hat hier einige Details zur Schwachstelle offen gelegt.

Plugin: Profile Builder

Die Nacht ist mir eine zweite Sicherheitswarnung von WordFence zugegangen, die das WordPress Plugin Profile Builder betrifft. Mit Profile Builder können Betreiber ihre Website anpassen, indem Sie ein Front-End-Menü für alle Benutzer hinzufügen, um diesen eine flexiblere Möglichkeit zu bieten, ihr Benutzerprofil zu ändern oder sich zu registrieren (Front-End-Benutzerregistrierung). Benutzer mit Administratorrechten können grundlegende Benutzerfelder anpassen oder den Front-End-Formularen benutzerdefinierte Benutzerfelder hinzufügen. Das Plugin hat mehr als 50.000 Installationen.

Anfang dieser Woche wurde eine kritische Schwachstelle im Profile Builder-Plugin für WordPress gepatcht. Profile Builder-Versionen bis einschließlich 3.1.0 sind von dieser Schwachstelle betroffen. Es ist entscheidend, dass jede Website, auf der eine anfällige Version des Plugins läuft, sofort auf Version 3.1.1 aktualisiert wird, um eine Gefährdung der Website zu vermeiden. Details zur Schwachstelle finden sich in diesem Blog-Beitrag.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Schwachstellen in WordPress-Plugins: GDPR Cookie Consent und Profile Builder

  1. Steffen sagt:
    14. Februar 2020 um 13:03 Uhr

    Hallo,

    welches Plugin nutzen Sie denn für die Cookie Zustimmung?

    Grüße Steffen

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.