La regulación de protección de datos generales (General Data Protection Regulation - GDPR) es una regulación aplicada en la ley de la unión europea (EU) para proteger los datos y privacidad de los ciudadanos que pertenecen a la EU. Donde el complemento (plugin) de Wordpress “GDPR Cookie Consent”, es un asistente que ayuda a los usuarios a diseñar los sitios web (Web Site) cumpliendo los requerimientos de la GDPR.
La vulnerabilidad aún no posee CVE, pero por su potencial se puede decir que es critica debido a su potencial, la falla se encuentra en el método utilizado en “save_contentdata”, cuando un administrador guarda el aviso de GDPR cookie en la base de datos como tipo “page post”, dicha acción también es permitida a un usuario autenticado, así como un subscriptor a cualquier página o publicación, pudiendo cambiar el estatus de “published” (publicado) a “draft” (borrador). Además, es posible eliminar o cambiar contenido, inyectar contenido como texto, imágenes locales o remotas, hipervínculos y código Java Script.
La falla se hizo pública el 10 de febrero del 2020 por parte de la marca desarrolladora “WebToffee”, mismo día del lanzamiento de la última actualización, GDPR Cookie Consent ver. 1.8.3, la misma soluciona la falla.
Dando un vistazo al historial de descargas, se puede observar que no más de 90.000 usuarios han descargado la última versión del plugin, esto significa que más de 600.000 instalaciones aún son vulnerables.
Historial de Descargas
COMENTARIOS