Kritische Sicherheitslücke im DSGVO-Plugin GDPR Cookie Consent für WordPress

Wer das WordPress-Plugin GDPR Cookie Consent in einer veralteten Version nutzt, macht seine Website angreifbar. Angreifer könnten eine als "kritisch" eingestufte Sicherheitslücke – eine CVE-Nummer wurde noch nicht vergeben – für eine persistente XSS-Attacke ausnutzen.

In eigener Sache: Das neue c't DSGVO 2020

Highlights der jetzt neu erschienen, stark erweiterten und aktualisierten Neuauflage: 148 Seiten Praxis von Fachjuristen, Bußgeld-Ratgeber: So teuer können selbst simple Fehler werden, 90-Minuten-Webinar i.W.v. 79,00€: Was Ihre IT-Abteilung jetzt wissen muss, PLUS c't Datenschutz-Podcast-Folgen

• Mehr Infos im heise Shop: c't wissen DSGVO 2020

Die Ausgabe 1.8.3 ist abgesichert. GDPR Cookie Consent weist derzeit der Plugin-Website zufolge 700.000 aktive Installationen auf. Mit der Erweiterung kann man mit WordPress erstellte Internetseiten für die Datenschutz-Grundverordnung (DSGVO) fit machen.

Die Schwachstelle ist ein AJAX Endpoint, der eigentlich nur für Admins zugänglich sein sollte. Aufgrund einer mangelnden Prüfung könnten darauf aber auch authentifizierte Angreifer zugreifen und Websites kompromittieren. Dafür soll es ausreichen, wenn ein Angreifer Abonnent einer anfälligen Website ist. Wie das im Detail vonstattengehen kann, führen Sicherheitsforscher von NinTechNet in einem Beitrag aus. (des)