Hjem » Nyheder » Forskere opdagede alvorlig sårbarhed i WP live chat support plugin

Forskere opdagede alvorlig sårbarhed i WP live chat support plugin

Analytikere fra Sucuri selskab findes i WP live chat support-plugin farlig fejl.

Vulnerability gør det muligt at uautoriserede angribere udføre XSS-angreb og gennemføre malware på alle sider på hjemmesiden, der bruger denne udvidelse.

“En XSS fejl er temmelig alvorligt i sig selv. Det gør det muligt for hackere at injicere skadelig kode i hjemmesider eller web apps og kompromis besøgende’ konti eller udsætte dem for modificeret sidens indhold”, - siger Sucuri specialister.

Efter at have modtaget information om denne ulempe, udviklere fast det med den næste udgave af deres produkt.

Problem forbundet med ukorrekt anvendelse af admin_init anmodning. Som opdagede forskere, WP live chat support skabere brugt denne krog til at kalde wplc_head_basic funktion, der er ansvarlig for opdatering af plugin parametre. Med denne mekanisme af brugerrettigheder kontrollere om at udføre sådanne handlinger var fraværende i programmets kode.

Sucuri specialister hævder, at som admin_init arbejder gennem systemværktøjer admin-post.php eller admin-ajax.php, Angriberen skal opdatere parameter wplc_custom_js og imødekomme hans kode der.

Med dette, cyberkriminelle kan tilføje malware script på en hvilken som helst side af sårbare hjemmeside, hvor installeret WP live chat support. Til angreb, hacker behøver ikke nogen yderligere privilegier og selv tilladelse på web-ressource. Angribere kan handle med brug af simple robotter, automatisk at sætte deres kode i overskrifter gennem wplc_head_basic parameter.

Screenshot med 'wplc_head_basic' fungere
Screenshot med ’wplc_head_basic’ fungere

Forskere informeret udviklere om en fejl på April 30, 2019, og på maj 15 Skaberne af udvidelse frigivet WP live chat support-version 8.0.27 hvor sårbarhed blev fastsat. Alle plugin brugere anbefales at installere patch ASAP.

Ifølge WordPress repository, problematisk udvidelse installeret på mere end 60 tusinde hjemmesider. Som viser erfaring, cyberkriminelle spore oplysninger om fejl i udvidelser og forsøge at finde unpatched ressourcer, selv om udviklerne allerede har udgivet en patch.

LÆS  Svaghed i WP live chat support plugin giver stjæle logfiler og indsætte beskeder i chats

Kilde: https://www.bleepingcomputer.com

[i alt: 0    Gennemsnit: 0/5]

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

Trojan MonsterInstall

Websteder med snydekoder til spil distribuere brugere til belastningen trojanske krypto minearbejder

En ny modulopbygget trojan downloader i JavaScript er dukket op på internettet. I øjeblikket, it can

Oracle WebLogic sårbarhed

Oracle har frigivet et presserende patch til at fjerne kritiske sårbarheder i WebLogic Server

The company said that an unknown group of cybercriminals in real attacks is already actively

Skriv et svar