Hlavní navigace

Z WordPress pluginu pro kontrolu GDPR se vyklubala 0day zranitelnost

Karel Wolf

Populární nástroj, který měl hlídat soulad WordPress webů s pravidly evropského GDPR, se stal nechtěnými zadními vrátky do systému.

Útočníci pravděpodobně o zranitelnosti vědí již tři týdny, využívají ji k instalaci skriptů pro získání plné kontroly nad systémem. Bezpečnostní tým WordPressu na základě prvních reportů původně podezříval úplně jiné komponenty, ale většina stop nakonec vedla právě k WP GDPR Compliance, toho času nejpopulárnějšímu (přes 100 tisíc instalací) pluginu pro kontrolu souladu s evropskou General Data Protection Regulation.  

Tým WordPressu dočasně vyřadil plugin z repozitáře, po opravě většího množství bezpečnostních chyb je již ale zpět, a to konkrétně ve verzi 1.4.3, která má nalezené zranitelnosti již opravené. Pro stránky se staršími verzemi 1.4.2 a méně nicméně platí, že je útok stále aktivní a umožňuje útočníkům převzít plnou kontrolu nad webem.

Našli jste v článku chybu?