GDPR Cookie Consent

Schwere Schwachstellen im GDPR Cookie Consent-Plugin für WordPress

Bei dem beliebten und DSGVO konformem WordPress-Plugin GDPR Cookie Consent wurden am 28. Januar 2020 kritsche Sicherheitslücken entdeckt. Die  Sicherheitsprobleme des WordPress-Plugins GDPR Cookie Consent wurden mit einem neuen Patch behoben. Dennoch sind Hunderttausende von Websites immer noch anfällig für Angriffe.

Das GDPR-Plugin “Cookie Consent” wurde als Werkzeug für WordPress-Webseiten entwickelt, um dem europäischen GDPR-Gesetz zu entsprechen. Der Hauptzweck des Plugins besteht darin, die Erlaubnis für die Sammlung von Cookies von Besuchern zu erhalten, eine Seite mit Datenschutz- und Cookie-Richtlinien zu erstellen und Banner für die Einhaltung der Cookie-Gesetzgebung zu setzen.

Am 28. Januar dieses Jahres entdeckte der NinTechNet-Forscher Jerome Bruandet eine Schwachstelle, die sich auf die GDPR-Cookie Consent Version 1.8.2 (die damals neueste Version) und alle früheren Versionen auswirkte. Insgesamt haben mehr als 700.000 aktive Benutzer das Plugin installiert.

Um welche Sicherheitslücke geht es?

Die Schwachstelle im GDPR-Plugin “Cookie Consent” ist ein kritisches Problem, das durch fehlende Prüfungen verursacht wird. Dies führte zu authentifiziertem, gespeichertem Cross-Site-Scripting (XXS) mit einer möglichen Eskalation von Privilegien.

Die Quelle des Problems ist ein anfälliger AJAX-Endpunkt. Der AJAX-Endpunkt sollte nur für Administratoren zugänglich sein. Aufgrund der Schwachstelle könnten auch regelmäßig angemeldete Benutzer Aktionen durchführen, die die Sicherheit einer Website gefährden könnten.

Aufgrund fehlender Kontrollen wurden drei Aktionen aufgedeckt: get_policy_pageid, autosave_contant_data und save_contentdata. Mit diesen Aktionen können Angreifer u.a. den Inhalt der Datenschutzerklärung auf einer Website ändern oder diese Seite offline nehmen.

Tausende von Webseiten sind noch immer gefährdet!

Der Entwickler ist am 4. Februar 2020 über die Schwachstellen informiert worden, danach wurde das Plugin offline genommen und auch aus der WordPress-Bibliothek gelöscht. Am 10. Februar wurde das Plugin in einer überarbeiteten Version wieder online gestellt. Laut Entwicklerangaben sind nun alle Sicherheitslücken ab Version 1.8.3 behoben.

Um mögliche Angriffe zu verhindern, wird Benutzern des GDPR-Plugins “Cookie Consent” dringend empfohlen, die neueste Version des Plugins, Version 1.8.3, zu installieren. Derzeit haben bereits 64,5 Prozent der Anwender den Patch installiert. Eine Mehrheit, immer noch Tausende von Websites, auf denen das Update noch nicht installiert wurde, sind gefährdet.

Leave a Comment

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Scroll to Top