Die Analysten von Sucuri Unternehmen gefunden in WP Live Chat Support-Plugin gefährliche Fehler.
Vulnerability ermöglicht unbefugten Angreifer auszuführen XSS-Angriff und implementieren Malware auf allen Seiten der Website, die diese Erweiterung verwenden.“Ein XSS Fehler ist ziemlich ernst in sich. Es ermöglicht Hacker bösartigen Code in Websites oder Web-Anwendungen und den Kompromiss Besucher zu injizieren’ Konten oder setzen sie modifizierte Seiteninhalt”, - sagen Sucuri Spezialisten.
Informationen zu diesem Nachteil Nach dem Empfang, Entwickler fixiert es mit der nächsten Version ihres Produkts.
Problem mit nicht ordnungsgemäßer Anwendung von admin_init Anfrage verknüpft. Als Forscher entdeckt, WP Live Chat Support Schöpfer diesen Hook verwendet für den Aufruf wplc_head_basic Funktion, die für die Aktualisierung von Plugin-Parameter verantwortlich ist. Mit diesem Mechanismus der Nutzer überprüfen Rechte solcher Maßnahmen auf die Durchführung war im Programmcode fehlt.
Sucuri Spezialisten argumentieren, dass als admin_init arbeitet durch System-Utilities Admin-post.php oder Admin-ajax.php, Angreifer sollte Parameter aktualisieren wplc_custom_js und bietet Platz für seinen Code dort.
Mit diesem, Cyberkriminelle können Malware-Skript auf einer beliebigen Seite der gefährdeten Website, wo WP Live Chat Support installiert hinzufügen. für Angriff, Hacker keine zusätzlichen Privilegien benötigt und sogar Autorisierung auf Web-Ressource. Angreifer können mit der Verwendung von einfachen Bots handeln, automatisch setzen ihren Code in Seitenüberschriften durch die wplc_head_basic Parameter.
Forscher informiert Entwickler über einen Fehler am April 30, 2019, und im Mai 15 Schöpfer der Erweiterung veröffentlicht WP Live Chat Support Version 8.0.27 wo Verwundbarkeit wurde behoben. All Plug-Benutzer empfohlen Patch installieren so schnell wie möglich.
Laut Wordpress Repository, problematische Erweiterung auf mehr als installiert 60 tausend Websites. Wie die Erfahrung gezeigt,, Cyber-Kriminelle Informationen über Fehler in Erweiterungen verfolgen und versuchen ungepatchte Ressourcen zu finden, auch wenn Entwickler haben bereits einen Patch veröffentlicht.
Quelle: https://www.bleepingcomputer.com
