Complianz | GDPR\/CCPA Cookie Consent WordPress Plugin<\/h3>\n
Das Complianz-Plugin f\u00fcr WordPress ist ein leistungsstarkes Werkzeug, das Website-Betreibern hilft, Datenschutzvorschriften wie die Datenschutz-Grundverordnung (GDPR) und das California Consumer Privacy Act (CCPA) einzuhalten.<\/p>\n
Das Plugin verwaltet mehrere Aspekte der Benutzerprivatsph\u00e4re, einschlie\u00dflich der Blockierung von Drittanbieter-Cookies, der Verwaltung der Cookie-Zustimmung (einschlie\u00dflich pro Unterregion) und der Verwaltung verschiedener Aspekte im Zusammenhang mit Cookie-Bannern.<\/p>\n
Seine Vielseitigkeit und N\u00fctzlichkeit k\u00f6nnten f\u00fcr die Beliebtheit des Tools verantwortlich sein, das derzeit \u00fcber 800.000 Installationen hat.<\/p>\n
![\"Complianz](\"https:\/\/www.bajorat-media.com\/wp-content\/uploads\/2024\/01\/complianz-banner-1024x332.png\" "\\"\\"")
<\/p>\n
Complianz Plugin Gespeicherte XSS-Schwachstelle<\/h2>\n
Im Complianz WordPress-Plugin wurde eine gespeicherte XSS-Schwachstelle entdeckt, bei der es sich um eine Art von Schwachstelle handelt, die es einem Benutzer erm\u00f6glicht, ein b\u00f6sartiges Skript direkt auf den Website-Server hochzuladen. Im Gegensatz zu einem reflektierten XSS, das einen Website-Benutzer erfordert, um auf einen Link zu klicken, beinhaltet ein gespeichertes XSS ein b\u00f6sartiges Skript, das auf dem Server der Zielwebsite gespeichert und bereitgestellt wird.<\/p>\n
Die Schwachstelle befindet sich in den Complianz-Admin-Einstellungen, die in Form eines Mangels an zwei Sicherheitsfunktionen besteht.<\/p>\n
1. Eingabesanitierung<\/h3>\n
Dem Plugin fehlte ausreichende Input-Sanitization und Output-Escaping. Input-Sanitization ist ein Standardprozess zur \u00dcberpr\u00fcfung dessen, was auf einer Website eingegeben wird, wie in ein Formularfeld, um sicherzustellen, dass das, was eingegeben wird, auch das Erwartete ist, wie eine Texteingabe im Gegensatz zu einem Skript-Upload.<\/p>\n
Der offizielle WordPress-Entwicklerleitfaden beschreibt Datenbereinigung als:<\/p>\n
„Sanitizing input is the process of securing\/cleaning\/filtering input data. Validation is preferred over sanitization because validation is more specific. But when \u201cmore specific\u201d isn\u2019t possible, sanitization is the next best thing.“<\/p><\/blockquote>\n
2. Output-Escaping<\/h3>\n
Dem Plugin fehlte das Output-Escaping, ein Sicherheitsprozess, der unerw\u00fcnschte Daten entfernt, bevor sie einem Benutzer angezeigt werden.<\/p>\n
Wie schwerwiegend ist die Schwachstelle?<\/h2>\n
Die Schwachstelle erfordert, dass der Angreifer Administratorberechtigungen und h\u00f6her erh\u00e4lt, um den Angriff auszuf\u00fchren. Das k\u00f6nnte der Grund sein, warum diese Schwachstelle mit 4,4 von 10 bewertet wird, wobei zehn das h\u00f6chste Niveau der Schwachstelle darstellt.<\/p>\n
Die Schwachstelle betrifft nur bestimmte Arten von Installationen.<\/p>\n
Laut Wordfence:<\/p>\n
„Dies macht es m\u00f6glich f\u00fcr authentifizierte Angreifer mit Administratorberechtigungen und dar\u00fcber hinaus, willk\u00fcrliche Web-Skripte in Seiten einzuspritzen, die ausgef\u00fchrt werden, wann immer ein Benutzer auf eine injizierte Seite zugreift.<\/p>\n
Dies betrifft nur Multi-Site-Installationen und Installationen, bei denen unfiltered_html deaktiviert wurde.“<\/p><\/blockquote>\n
Aktualisierung auf die neueste Version<\/h2>\n
Die Schwachstelle betrifft Complianz-Versionen gleich oder kleiner als Version 6.5.5. Benutzer werden ermutigt, auf Version 6.5.6 oder h\u00f6her zu aktualisieren.<\/p>\n