Lỗ hổng XSS được phát hiện trong plugin Complianz – GDPR/CCPA Cookie Consent, một plugin được cài đặt trên hơn 800.000 website WordPress.
Plugin này có hơn 800.000 lượt cài đặt này đã vá một lỗ hổng XSS, lỗ hổng này có thể cho phép kẻ tấn công tải lên các tập lệnh độc hại để khởi động các cuộc tấn công khách truy cập website.
Nếu đang sử dụng plugin này, bạn nên cập nhật phiên bản mới nhất của nó càng sớm càng tốt.
Về plugin Complianz – GDPR/CCPA Cookie Consent
Complianz – GDPR/CCPA Cookie Consent là plugin hỗ trợ GDPR, ePrivacy, DSGVO, TTDSG, LGPD, POPIA, APA, RGPD, CCPA/CPRA và PIPEDA với thông báo điều kiện thu thập Cookie and chính sách Cookie tùy chỉnh dựa trên tính năng tích hợp có sẵn: Cookie Scan.
Tóm lại, plugin Complianz – GDPR/CCPA Cookie Consent giúp chủ sở hữu website tuân thủ các quy định về quyền riêng tư như Quy định chung về bảo vệ dữ liệu (GDPR) và Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA).
Plugin quản lý nhiều khía cạnh về quyền riêng tư của người dùng, bao gồm chặn cookie của bên thứ ba, quản lý sự đồng ý với cookie (bao gồm từng tiểu vùng) và quản lý nhiều khía cạnh liên quan đến biểu ngữ cookie.
Lỗ hổng XSS trong plugin Complianz – GDPR/CCPA Cookie Consent
Lỗ hổng XSS lưu trữ trên Complianz – GDPR/CCPA Cookie Consent cho phép người dùng tải tập lệnh độc hại trực tiếp lên máy chủ website. XSS lưu trữ liên quan đến tập lệnh độc hại được lưu trữ và phân phối từ máy chủ của website.
Lỗ hổng yêu cầu kẻ tấn công phải có cấp độ quyền quản trị viên trở lên mới có thể thực hiện cuộc tấn công.
Những người dùng Wordperss nên cập nhật phiên bản mới nhất 6.5.6 hoặc phiên bản cao hơn sau này.