Niebezpieczna luka we wtyczce WP GDPR Compliance

Wtyczka WP GDPR Compliance instalowana ostatnio przez wielu użytkowników WordPress’a w związku z wejściem w życie RODO, pozwala nieuwierzytelnionym użytkownikom na wykonanie dowolnej akcji i aktualizację dowolnej wartości w bazie danych.

Problem znajduje się w pliku Includes / Ajax.php, który nie sprawdza żadnej z wprowadzanych przez nieuwierzytelnionego użytkownika wartości.

Problem dotyczy wtyczki w wersjach 1.4.2 i niższych. Wszystkim użytkownikom tego rozwiązania zalecamy niezwłoczną aktualizację.

W dniu wczorajszym zgłosił się do nas pierwszy klient, którego witryna zaczęła przekierowywać na rosyjskie adresy www. Włamywacz wykorzystał możliwość zmiany rekordów w bazie, zmieniając rekord ‚siteurl’.