Svaghed i WP live chat support plugin giver stjæle logfiler og indsætte beskeder i chats

Udviklere af WP live chat support plugin, som har mere end 50,000 installationer, rapporterer, at brugerne straks bør opgradere plugin til version 8.0.33 eller senere.

THan faktum er, at i plugin blev fundet kritisk sårbarhed, der gør det muligt for en hacker, der ikke har gyldige legitimationsoplysninger til at omgå autentifikation mekanisme.

WP live chat support tillader tilføjelse til hjemmesiden gratis chat, hvorigennem medarbejdere kan yde støtte og bistand til ressource besøgende.

Eksperter fra Alert Logic konstateret, at plugin-versioner 8.0.32 og nedenfor tillade en ikke-godkendt hacker at få adgang til REST API endepunkter, som ikke bør være tilgængelig under normale omstændigheder. Sårbarheden modtaget identifikator CVE-2019-12.498. På grund af udnyttelse af fejlen, en hacker kan ikke kun stjæle alle de logs af allerede gennemførte chats, men også forstyrre stadig aktive chat-sessioner.

Forskerne siger, at ved hjælp af en bug, en hacker kan indsætte sine egne beskeder til aktive chats, redigere dem, og udføre DoS-angreb, skyldes som chat-sessioner vil blive hurtigst muligt bringes til ophør.

”Bemærk, at vi ikke havde set angribere forsøge dette specifikke bypass i vores kundedata, og tror ikke, at det var ved at blive udnyttet aktivt”, - rapport forskere.

Interessant, i den seneste måned, saft s specialister opdaget en anden farlig problem i WP live chat support -XSS bug, som tillod at automatisere angreb på sårbare steder og indføre skadelig kode uden godkendelse. Kriminelle hurtigt begyndte at udnytte denne sårbarhed.

Afsluttende, Ifølge Zscaler ThreatLabZ, angribere injicerede ondsindet JavaScript på sårbare steder, som organiserede tvunget omdirigeringer og var ansvarlig for ankomsten af ​​pop-up vinduer og falske abonnementer.

Kilde: https://blog.alertlogic.com