WordPress: plugin per adeguarsi al GDPR apre le porte ai criminali informatici

WP GDPR Compliance è uno dei plugin per WordPress più utilizzati: permette di adeguare il proprio sito web alle prescrizioni contenute nella nuova normativa europea per la protezione dei dati e ad acquisire il consenso di ogni singolo utente.
È un plugin molto versatile, semplice da installare e configurare, compatibile con i commenti di WordPress e con altri componenti aggiuntivi come Contact Form, Gravity Forms e Woocommerce.

In queste ore è però emerso un grave problema di sicurezza che affligge tutte le versioni di WP GDPR Compliance antecedenti la 1.4.3.
Un utente malintenzionato, sfruttando una vulnerabilità di WP GDPR Compliance, può acquisire i diritti di amministratore sul sito WordPress, modificarne la configurazione e fare in modo che venga erogato codice dannoso.

Non importa che l’iscrizione di nuovi utenti sia bloccata dal pannello di amministrazione di WordPress: facendo leva sul pericoloso bug di WP GDPR Compliance gli aggressori possono tranquillamente creare i loro account amministrativi.

Grazie al fatto che WP GDPR Compliance 1.4.2 e precedenti non filtrano le richieste inviate al file admin-ajax.php ed anzi consentono di eseguire azioni arbitrarie, qualunque sito WordPress con una versione non aggiornata del plugin può diventare facile preda dei criminali informatici.

Il consiglio è a questo punto quello di aggiornare immediatamente a WP GDPR Compliance 1.4.3 oppure disattivare il plugin.

L’attacco è facilmente riconoscibile perché il nome degli utenti creati contiene parti sempre simili (presenza della sottostringa trollherten).