9066 Letture
WordPress: plugin per adeguarsi al GDPR apre le porte ai criminali informatici

WordPress: plugin per adeguarsi al GDPR apre le porte ai criminali informatici

Paradossalmente un apprezzato plugin per WordPress che aiuta gli utenti ad adeguarsi alle prescrizioni contenute nel GDPR apre la porta ai criminali informatici. Aggiornare subito.

WP GDPR Compliance è uno dei plugin per WordPress più utilizzati: permette di adeguare il proprio sito web alle prescrizioni contenute nella nuova normativa europea per la protezione dei dati e ad acquisire il consenso di ogni singolo utente.
È un plugin molto versatile, semplice da installare e configurare, compatibile con i commenti di WordPress e con altri componenti aggiuntivi come Contact Form, Gravity Forms e Woocommerce.

WordPress: plugin per adeguarsi al GDPR apre le porte ai criminali informatici

In queste ore è però emerso un grave problema di sicurezza che affligge tutte le versioni di WP GDPR Compliance antecedenti la 1.4.3.
Un utente malintenzionato, sfruttando una vulnerabilità di WP GDPR Compliance, può acquisire i diritti di amministratore sul sito WordPress, modificarne la configurazione e fare in modo che venga erogato codice dannoso.


Non importa che l'iscrizione di nuovi utenti sia bloccata dal pannello di amministrazione di WordPress: facendo leva sul pericoloso bug di WP GDPR Compliance gli aggressori possono tranquillamente creare i loro account amministrativi.

Grazie al fatto che WP GDPR Compliance 1.4.2 e precedenti non filtrano le richieste inviate al file admin-ajax.php ed anzi consentono di eseguire azioni arbitrarie, qualunque sito WordPress con una versione non aggiornata del plugin può diventare facile preda dei criminali informatici.

Il consiglio è a questo punto quello di aggiornare immediatamente a WP GDPR Compliance 1.4.3 oppure disattivare il plugin.

L'attacco è facilmente riconoscibile perché il nome degli utenti creati contiene parti sempre simili (presenza della sottostringa trollherten).

WordPress: plugin per adeguarsi al GDPR apre le porte ai criminali informatici