Security
Headlines
HeadlinesLatestCVEs

Headline

CVE-2021-36887: tarteaucitron.js – Cookies legislation & GDPR

Cross-Site Request Forgery (CSRF) vulnerability leading to Cross-Site Scripting (XSS) discovered in tarteaucitron.js – Cookies legislation & GDPR WordPress plugin (versions <= 1.5.4), vulnerable parameters “tarteaucitronEmail” and "tarteaucitronPass".

CVE
#xss#csrf#vulnerability#web#js

  • Details
  • Reviews
  • Installation
  • Support
  • Development

Description

tarteaucitron.js is the most used script to get in compliance with cookies and GDPR.

Analytics, AdSense, Twitter … +100 more
They have never been so easy to install!

Open an account now: https://tarteaucitron.io/

Free for 3 services or unlimited for 15€HT/month

Installation****WordPress Admin Method

  1. Go to you administration area in WordPress Plugins > Add
  2. Look for tarteaucitron.js (use search form)
  3. Click on Install and activate the plugin
  4. Find the settings page through Settings > tarteaucitron.js

FTP Method

  1. Upload the complete tarteaucitronjs folder to the /wp-content/plugins/ directory
  2. Activate the plugin through the ‘Plugins’ menu in WordPress
  3. Find the settings page through Settings > tarteaucitron.js

Reviews

Un plugin simple d’installation et personnalisable facilement. J’avoue bien aimé ce petit picto citronné en comparaison aux tartines bien moches qu’on peut trouver ailleurs. Un dév sympa qui n’a pas le melon 😉 Vive le citron !

Après des tests un peu poussés, le top pour ceux qui acceptent de faire un tout petit effort d’intégration en version gratuite… Ou pas, avec la version payante. Indiscutablement, si Amauri est un développeur de talent qui semble avoir négocié avec la CNIL avant tous les autres, il ne met pas assez en avant son outil qui, même dans sa version gratuite (!!), s’installe plutôt facilement pour le commun des développeurs pas trop fainéants, et regorge de fonctionnalités, comme la possibilité d’alimenter son code en services pré-définis (pour les principaux) et cerise sur le gâteau, la description de ces services via un lien vers les éditeurs concernés, et tout ça, automatiquement !! Et on continue avec la traduction de l’interface en fonction de la localisation des navigateurs, etc. Déjà à ce stade, la concurrence est à genoux ! Une approche plutôt altruiste de la part du développeur (qui mérite mille fois d’être rémunéré avec sa version pro pour ceux qui préfèrent un service tout prêt et sans effort), qui n’est pas mise suffisamment en avant et ne mérite pas son score trop modeste sur cette plateforme. Et je ne parle pas (mais si, j’en parle 😉 des critiques négatives de la part de pseudo-développeurs trop habitués à ce qu’on leur serve la soupe toute chaude et sans frais. On s’imagine aussi que les solutions qui trustent le max d’étoiles, telles que Cookieyes, Borlabs et consorts, représentent les solutions absolues mais sont devenues, à ce jour, obligatoirement payantes pour satisfaire les besoins de la CNIL, et demanderont un travail de traduction particulièrement fastidieux. Et surtout, l’argument ultime du scan auto des cookies, plus que perfectible et obscur dans la majorité des cas, imposera l’obligation d’aller à la pêche aux cookies via Chrome > Application… (ou Firefox), et bonne chance pour identifier clairement les cookies et les intégrer. Conclusion (pour ceux qui ont eu la patience d’arriver jusque là 😉 : je dis un grand merci à ce développeur, qui ne fait pas le forcing avec sa version payante, et qui nous aide bien volontier à optimiser la solution libre. Perso, ça vaut de l’or ! A un moment, dans ce monde de pseudo gratuité, il faut promouvoir une solution que l’on nous sert quasiment sur un plateau, et qui limite le grand cauchemar des développeur dont la CNIL ne se préoccupe pas une seconde une fois qu’elle a fixé ses règles. Forza tarteaucitron !!! PS : je n’ai aucune commission de la part de l’éditeur, je suis juste un développeur standard qui ai pris le temps d’évaluer cet outil en toute objectivité.

Very good solution for dealing with GDPR

Je n’ai pas forcément des connaissances très poussées en code mais j’ai trouvé ce plugin assez facile d’utilisation et complet. En zieutant le web, on trouve pas mal de ressources et d’explications associées. Une bonne découverte =) !

Contrairement aux messages négatifs que j’ai pu lire, le script fonctionne très bien en version gratuite, est très léger, et il est simplissime à mettre en œuvre sur une installe WP. Avec un chouya de CSS, le bandeau s’intègre de plus parfaitement dans le design du site. Seul souci en date du 28/10/2018, c’est son manque de compatibilité avec certains plugins de cache et d’optimisation de code… Et par exemple même en essayant de l’exclure d’Autoptimize, il y a une erreur due à l’appel d’un sous-script à cause d’un chemin mal généré (il récupère le chemin du script principal qui est évidemment faussé par Autoptimize). Mais une ligne de code à ajouter au début du fichier suffit à tout remettre en ordre : var tarteaucitronForceCDN = window.location.protocol + ‘//’ + window.location.host + '/tarteaucitron/’; Espérons que le script sera vite corrigé 😉

a joke. It speaks of respect for privacy and it requires to create an account on a remote site to be able to function … The RGPD generates worse things than before.

Read all 9 reviews

Contributors & Developers

“tarteaucitron.js – Cookies legislation & GDPR” is open source software. The following people have contributed to this plugin.

Contributors

  • AmauriC

Changelog****1.6.1

  • [Security fix] Multiple Authenticated (Admin+) Persistent XSS (Thanks Ex.Mi from https://patchstack.com/)

1.6

  • [Security fix] CSRF in back-end + Stored XSS in front-end (Thanks Julio Potier from https://secupress.me/)
  • Code improvement

1.5.4

  • Add ee locale

1.5.3

  • Fix a CSS conflict

1.5.2

  • Remove jQuery

1.5.1

  • Do not load the script if this is an admin area

1.5.0

  • Fix undefined $domain

1.4.9

  • Put the script on top of the page

1.4.8

  • Do not load tac on admin pages

1.4.7

  • Add more locales

1.4.6

  • Revert the oembed feature

1.4.5

  • Refresh the oembed cache

1.4.4

  • New way to set the video size

1.4.3

  • Rename clear class

1.4.2

  • Enable locales: se,vi

1.4.1

  • Enable all locales: bg,cn,cs,da,de,el,en,es,fi,fr,hu,it,ja,nl,pl,pt,ro,ru,sk,tr

1.4

  • New domain: tarteaucitron.io

1.3.4

  • Do not auto disconnect

1.3.3

  • Force the current locale

1.3.2

  • Force the locale of the website for the banner

1.3.1

  • Automatically convert youtube, vimeo and dailymotion video to the tarteaucitron version

1.3

  • New authentification method

1.2.1

  • Attempt to fix some login difficulty

1.1

  • Rework and update the plugin

1.0

  • Initial commit

CVE: Latest News

CVE-2023-50976: Transactions API Authorization by oleiman · Pull Request #14969 · redpanda-data/redpanda
CVE-2023-6905
CVE-2023-6903
CVE-2023-6904
CVE-2023-3907