近日，超过700000个网站所使用的WordPress GDPR Cookie Consent插件修复了一个高危漏洞，可让攻击者非法删掉和修改网站内容，并往网站转化成蓄意JS代码（由于访问控制不当）。

GDPR Cookie Consent plugin可以协助网站管理员展现可以定制的位于页眉或页脚的Cookie项目，以显示其网站符合欧洲所选定的数据保护法律GDPR的要求。

这个由WebToffee维护的插件也就是wordpress插件库中最受欢迎的100个插件之一，根据其WordPress库的实时安装数，有少于700000个站点使用了它。

WordPress中的跨站脚本和权限提高

这个漏洞被认为就是高危，但目前还没CVE的ID，主要影响1.8.2或更晚的版本。WebToffee在2月10日公布了最新的1.8.3版本，而在六天前，NinTechNet的安全研究员Jerome Bruandet向插件开发者报告了这个漏洞。

WordPress安全公司WordFence在WebToffee修补了这个漏洞后，也辨认出了这个漏洞。该公司则表示，这个漏洞可以让订阅级别的用户执行一些可能危及网站安全的操作。

Bruandet表示，通过证书的用户，比如说普通订阅者，可以通过将他们的状态从published改为draft，将现有的页面或文章下线。

这个漏洞是由cli_policy_generatorAJAX调用中的访问控制瑕疵所引致的，它可让订阅者碰触至get_policy_pageid、autosave_contant_data和save_contentdata等敏感操作。

例如autosave_contant_data方法用于管理员在后台保存GDPR cookie信息页面的数据。由于它可以将数据保存至cli_pg_content_data这个数据库字段而不经过任何安全验证，导致攻击者可以往其中注入恶意JS代码，实现XSS反击。

在补丁版本发布后的近两天里，已经有76000多用户更新了他们的网站，但除了60多万用户仍未有所动作。