{"id":228238,"date":"2020-02-14T12:26:17","date_gmt":"2020-02-14T11:26:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228238"},"modified":"2020-02-14T13:19:19","modified_gmt":"2020-02-14T12:19:19","slug":"schwachstellen-in-wordpress-plugins-gdpr-cookie-consent-und-profile-builder","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/14\/schwachstellen-in-wordpress-plugins-gdpr-cookie-consent-und-profile-builder\/","title":{"rendered":"Schwachstellen in WordPress-Plugins: GDPR Cookie Consent und Profile Builder"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/07\/wp_thumb.jpg\" alt=\"\" width=\"64\" height=\"64\" align=\"left\" \/>Kurze Information f\u00fcr Nutzer von WordPress, die die Plugins GDPR Cookie Consent und Profile Builder im Einsatz haben. Beide Plugins haben in \u00e4lteren Versionen kritische Sicherheitsl\u00fccken.<\/p>\n<p><!--more--><\/p>\n<h2>Plugin: GDPR Cookie Consent<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/484fd96bd1194d878989c4a61b78188d\" alt=\"\" width=\"1\" height=\"1\" \/>Die Meldung ging mir bereits am 12. Februar 2020 von WordFence zu. Unsachgem\u00e4\u00dfe Zugriffskontrollen f\u00fchren zu einer gespeicherten Cross-Site-Scripting-Schwachstelle im GDPR-Plugin Cookie Consent, das derzeit auf \u00fcber 700.000 WordPress-Sites installiert ist.<\/p>\n<p>GDPR Cookie Consent ist ein Plugin, das Websitenbetreibern die M\u00f6glichkeit zur Anzeige eines Cookie-Hinweises einzublenden (ich nutze ein anderes Plugin, EU Cookie Law). Das Plugin erm\u00f6glicht Besuchern der Website, die Cookies dieser Website zu \u00fcberpr\u00fcfen und ihre Zustimmung zum Empfang der Cookies zu erteilen. Das Plugin wird von vielen Seitenbetreibern eingesetzt und hat derzeit die oben erw\u00e4hnten 700.000 aktive Installationen.<\/p>\n<p>Details \u00fcber die Schwachstelle wurden bekannt, nachdem das Plugin aus dem WordPress-Repository entfernt wurde, auf der Plugin-Seite gab es den Hinweis \"in Erwartung einer vollst\u00e4ndigen \u00dcberpr\u00fcfung\" werde das Plugin nicht angeboten. WordFence hat sich des Themas angenommen und dann am 12. Februar 2020 die <a href=\"https:\/\/www.wordfence.com\/blog\/2020\/02\/improper-access-controls-in-gdpr-cookie-consent-plugin\/\" target=\"_blank\" rel=\"noopener noreferrer\">Details offen<\/a> gelegt, um das Bewusstsein f\u00fcr dieses Problem zu sch\u00e4rfen. In der neuen Version 1.8.3 ist die Schwachstelle im Plugin geschlossen. Nintech hat <a href=\"https:\/\/blog.nintechnet.com\/wordpress-gdpr-cookie-consent-plugin-fixed-vulnerability\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier einige Details<\/a> zur Schwachstelle offen gelegt.<\/p>\n<h2>Plugin: Profile Builder<\/h2>\n<p>Die Nacht ist mir eine zweite Sicherheitswarnung von WordFence zugegangen, die das WordPress Plugin <a href=\"https:\/\/de.wordpress.org\/plugins\/profile-builder\/\" target=\"_blank\" rel=\"noopener noreferrer\">Profile Builder<\/a> betrifft. Mit Profile Builder k\u00f6nnen Betreiber ihre Website anpassen, indem Sie ein Front-End-Men\u00fc f\u00fcr alle Benutzer hinzuf\u00fcgen, um diesen eine flexiblere M\u00f6glichkeit zu bieten, ihr Benutzerprofil zu \u00e4ndern oder sich zu registrieren (Front-End-Benutzerregistrierung). Benutzer mit Administratorrechten k\u00f6nnen grundlegende Benutzerfelder anpassen oder den Front-End-Formularen benutzerdefinierte Benutzerfelder hinzuf\u00fcgen. Das Plugin hat mehr als 50.000 Installationen.<\/p>\n<p>Anfang dieser Woche wurde eine kritische Schwachstelle im Profile Builder-Plugin f\u00fcr WordPress gepatcht. Profile Builder-Versionen bis einschlie\u00dflich 3.1.0 sind von dieser Schwachstelle betroffen. Es ist entscheidend, dass jede Website, auf der eine anf\u00e4llige Version des Plugins l\u00e4uft, sofort auf Version 3.1.1 aktualisiert wird, um eine Gef\u00e4hrdung der Website zu vermeiden. Details zur Schwachstelle finden sich in <a href=\"https:\/\/www.wordfence.com\/blog\/2020\/02\/critical-vulnerability-in-profile-builder-plugin-allowed-site-takeover\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kurze Information f\u00fcr Nutzer von WordPress, die die Plugins GDPR Cookie Consent und Profile Builder im Einsatz haben. Beide Plugins haben in \u00e4lteren Versionen kritische Sicherheitsl\u00fccken.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-228238","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228238","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=228238"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228238\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=228238"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=228238"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=228238"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}