Entwickler von WP Live Chat Support-Plugin, welches mehr als 50,000 Installationen, berichten, dass Benutzer sofort Plugin-Version aktualisieren sollten 8.0.33 oder später.
TTatsache ist, dass er in Plugin wurde kritische Sicherheitslücke entdeckt, die es einem Angreifer ermöglicht, die keine gültige Anmeldeinformationen hat Authentifizierungs-Mechanismus zu umgehen.WP Live Chat Support ermöglicht es auf der Website kostenlosen Chat hinzugefügt, durch die Mitarbeiter Unterstützung und Hilfe Besucher bieten können Ressourcen.
Experten aus Alert Logic fand heraus, dass Plugin-Versionen 8.0.32 und unten ermöglicht ein nicht authentifizierter Angreifer Zugang zu erhalten zu REST-API Endpunkte, was sollte unter normalen Umständen nicht zur Verfügung steht. Die Schwachstelle empfangen die Kennung CVE-2019-12498. Durch Ausnutzung des Fehlers, kann ein Angreifer nicht nur stehlen alle Protokolle von bereits abgeschlossen Chats, aber auch mit noch aktiven Chat-Sitzungen stören.
Die Forscher sagen, dass mit Hilfe eines Fehlers, kann ein Angreifer seine eigenen Nachrichten in aktiven Chats einfügen, sie bearbeiten, und führen DoS-Attacken, aufgrund derer Chat-Sitzungen dringend beendet werden.
„Beachten Sie, dass wir nicht gesehen hatten Angreifer versuchen, dieses spezielle Bypass in unseren Kundendaten, und glaube nicht, dass es aktiv ausgenutzt wurde“, - Bericht Forscher.
Die primäre Auflösung dieser Sicherheitsanfälligkeit ist das Plugin auf die neueste Version zu aktualisieren. Wenn dies nicht erreicht werden kann, dann kann Minderungsoptionen umfassen:
Virtual Patching eine WAF mit Datenverkehr für den WP Live Chat Support REST-Endpunkt bestimmt filtern
Interessant, im letzten Monat, Saft des Spezialisten ein weiteres gefährliches Problem entdeckt in WP Live Chat Support -XSS Fehler, die Angriffe auf gefährdete Websites und zur Einführung von Schadcode ohne Authentifizierung erlaubt die Automatisierung. Criminals begann schnell, diese Sicherheitsanfälligkeit auszunutzen.
abschließend, Gemäß Zscaler ThreatLabZ, Angreifer injiziert schädliche JavaScript auf anfällige Websites, die gezwungen Umleitungen organisiert und war verantwortlich für die Ankunft der Pop-up-Fenster und gefälschte Abonnements.
Quelle: https://blog.alertlogic.com