De GDPR Cookie Consent plugin werd eerder deze week tijdelijk van WordPress.org gehaald, nadat ontwikkelaar Cookie Law Info van een kritische bug op de hoogte werd gesteld. Twee dagen later (op 10 februari) verscheen de nieuwe versie, 1.8.3, welke een patch voor de bug bevat. Gebruikers krijgen het advies de plugin zo snel mogelijk te updaten.
Over de GDPR Cookie Consent plugin
GDPR Cookie Consent is een populaire WordPress plugin die website-eigenaren helpt om de Algemene Verordening Gegevensbescherming (AVG) na te leven. De plugin creƫert een cookie banner die op de website wordt weergegeven en informatie verstrekt over de cookies waar de site gebruik van maakt. Bezoekers kunnen de melding accepteren of doorklikken naar een pagina met meer informatie. Als admin gebruiker kun je de cookie details eenvoudig vanaf de backend configureren. De lijst van cookies kan met behulp van een shortcode op je cookie policy pagina worden weergegeven. Je kunt ook de kleuren, lettertypes, stijlen en positionering van de cookie banner aanpassen, zodat deze mooi bij het ontwerp van je website past. De plugin heeft meer dan 700.000 actieve installaties. Alle websites die gebruik maken van een oude versie van de plugin (versie 1.8.2 of ouder), lopen risico.
Bug
De bug werd ontdekt door Jerome Bruandet, een security onderzoeker bij NinTechNet. Nadat hij de ontwikkelaar op de hoogte had gesteld publiceerde hij een blogpost waarin hij het probleem beschreef. Het gaat om een kwetsbaarheid die aanvallers in staat stelt om content van de getroffen website te verwijderen of aan te passen. Het kan dan gaan om geformatteerde tekst, afbeeldingen, hyperlinks en shortcodes. Ook is het mogelijk om kwaadaardige JavaScript code te injecteren. Zowel Bruandet als Wordfence en de plugin ontwikkelaar zelf adviseren gebruikers om zo snel mogelijk te updaten naar versie 1.8.3 van de GDPR Cookie Consent plugin.