按 Enter 到主內容區
:::

TWCERT-電子報

:::

WordPress 重要擴充套件內含資安漏洞,70 萬個網站曝險

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-03-06
  • 點閱次數:208
WordPress 重要擴充套件內含資安漏洞,70 萬個網站曝險 TWCERT/CC

內文

一個廣受歡迎的 WordPress 擴充套件 GDPR Cookie Consent 內含嚴重資安漏洞,可能導致 70 萬個使用該套件的 WordPress 架設網站曝險。

這個 WordPress 擴充套件的功能,是讓以 WordPress 架設的網站,能夠自動顯示一條 Banner,告知訪客該站使用 Cookie 並符合歐盟一般資料保護法規(GDPR)。

這個資安漏洞存在於該擴充套件在處理 AJAX 特效時的疏失,可能導致駭侵者取得 WordPress 的更高權限,例如變更 WordPress 網站的內容、或是任何內容下線或上線。

目前這個資安漏洞已有 CVSS 危險性評級;其評級為「嚴重級」的 9.0 分。

資安公司 Wordfence 在發現此漏洞時,已在第一時間通報該擴充套件的開發者和 WordPress 的開發公司 Automattic,很快的該擴充套件就暫時從 WordPress.org 的擴充套件目錄中下架。

在新版 GDPR Cookie Consent 解決此漏洞後,該擴充套件又再度上架到 WordPress.org 擴充套件目錄了。

有此資安漏洞的舊版本為 1.8.2 之前的舊版,更新至 2 月 11 日推出的 1.8.3 新版即可修復此一漏洞。

WordFence 的事件報告中,詳列了這個資安漏洞的細節,包括錯誤內容與如何利用此漏洞攻擊 WordPress 主程式。

影響產品

GDPR Cookie Consent 1.8.2 之前版本

解決辦法

升級至 1.8.3 之後版本
回頁首