CVE-2021-24814

Versões do plugin WordPress GDPR anteriores à 1.9.26

O problema diz respeito à ação AJAX check privacy settings no plugin WordPress GDPR. Essa ação é acessível tanto a usuários não autenticados quanto a usuários autenticados e retorna dados JSON sem o tipo de conteúdo correto, o que pode levar à interpretação de uma carga HTML por um navegador da web. Como resultado, código JavaScript pode ser executado no navegador da vítima. Se a vítima for um administrador com um cookie de sessão válido, um invasor poderia obter controle total da instância do WordPress, incluindo a capacidade de fazer chamadas AJAX e manipular iframes, devido ao endpoint vulnerável estar no mesmo domínio que o painel de administração.

Para versões anteriores à 1.9.26, atualize para a versão 1.9.26 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX check privacy settings até que a atualização seja aplicada.