Sérülékeny Wordpress GDPR modul
Rés az adatvédelmi pajzson
Az európai cégek jelentős része küzd a GDPR (Európai Unió adatvédelmi rendelete) megfelelőség eléréséért. Teszik ezt azért, hogy ne büntessék meg őket, illetve – tegyük fel - azért is, hogy ügyfeleik, dolgozóik személyes adatai megfelelő biztonságban legyenek.
Ennek a megfelelőségnek az elérésében segít WordPress oldalak esetén egy GDPR complience modul. Ami viszont nem túl vicces módon pont, hogy hozzájárult az adatok kiszivárgásához, vagy elvesztéséhez. A modul kódjában található (1.4.3 előtti verzióban) hibákat kihasználva ugyanis a támadók képesek adminisztrátor szintű felhasználókat felvenni, azzal belépve pedig
- minden ott tárolt adathoz hozzáférni,
- az oldal látogatóinak a webböngészőjét ...