• Votre panier est vide.

  • LOGIN

Une vulnérabilité dans le plug-in de consentement aux cookies GDPR pourrait mettre en danger 700000 sites Web


Certains articles de veille peuvent faire l'objet de traduction automatique.


Un autre plugin WordPress a maintenant rejoint la liste des plugins présentant des failles de sécurité menaçantes. Cette fois, la vulnérabilité est apparue dans le plugin GDPR Cookie Consent et a mis en péril l’intégrité de 700000 sites Web.

Vulnérabilité du plug-in de consentement aux cookies GDPR

Un chercheur de NinTechNet, Jerome Bruandet, aurait découvert une vulnérabilité sérieuse dans le plugin GDPR Cookie Consent. Le bogue, compte tenu des plus de 700 000 installations actives du plugin, aurait pu mettre en danger des milliers de sites Web.

Comme expliqué dans un article de blog, Bruandet, a trouvé une faille XSS critique dans le plug-in qui existait en raison du manque de vérification des capacités dans le point de terminaison AJAX. À son tour, il a exposé les valeurs autosave_contant_data et save_contentdata, permettant à un attaquant de mener des activités malveillantes. Plus précisément, l’exploitation de save_contentdata aurait pu permettre à un adversaire d’extraire les données publiées hors ligne, ou de les supprimer entièrement. Alors que l’exploitation de autosave_contant_data pourrait permettre d’injecter des codes JavaScript malveillants sur le site.

Aux côtés de Bruandet, l’équipe Wordfence a également revu cette vulnérabilité après avoir remarqué des mises à jour dans le plugin. La faille a particulièrement attiré leur attention après la fermeture du plugin pour examen, comme indiqué dans leur Publier. Ils ont considéré le bogue comme une faille de gravité critique avec un score CVSS de 9,0.

Patch déployé

Le chercheur Bruandet a trouvé la vulnérabilité et l’a signalée aux développeurs du plugin le 28 janvier 2020. Le bogue affectait les versions des plugins jusqu’au 1.8.2.

Par conséquent, les développeurs ont corrigé la vulnérabilité avec la publication de GDPR Cookie Consent v.1.8.3. Puisque le correctif est sorti, les utilisateurs doivent s’assurer de mettre à jour leur plugin avec les dernières versions pour éviter d’éventuels exploits.

GDPR Cookie Consent est un plugin WordPress dédié qui aide les administrateurs de site à garantir la conformité du site avec le RGPD.

Plus tôt cette année, l’équipe de WordFence a également découvert des vulnérabilités dans d’autres plugins WordPress qui menaçaient également des milliers d’utilisateurs. Ces plugins vulnérables incluent les extraits de code, WP Time Capsule et InfiniteWP Client.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

septembre 22, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)