Vulnerability in WP Live Chat Support-Plugin ermöglicht es Protokolle zu stehlen, und legen Sie Nachrichten in Chats

Entwickler von WP Live Chat Support-Plugin, welches mehr als 50,000 Installationen, berichten, dass Benutzer sofort Plugin-Version aktualisieren sollten 8.0.33 oder später.

TTatsache ist, dass er in Plugin wurde kritische Sicherheitslücke entdeckt, die es einem Angreifer ermöglicht, die keine gültige Anmeldeinformationen hat Authentifizierungs-Mechanismus zu umgehen.

WP Live Chat Support ermöglicht es auf der Website kostenlosen Chat hinzugefügt, durch die Mitarbeiter Unterstützung und Hilfe Besucher bieten können Ressourcen.

Experten aus Alert Logic fand heraus, dass Plugin-Versionen 8.0.32 und unten ermöglicht ein nicht authentifizierter Angreifer Zugang zu erhalten zu REST-API Endpunkte, was sollte unter normalen Umständen nicht zur Verfügung steht. Die Schwachstelle empfangen die Kennung CVE-2019-12498. Durch Ausnutzung des Fehlers, kann ein Angreifer nicht nur stehlen alle Protokolle von bereits abgeschlossen Chats, aber auch mit noch aktiven Chat-Sitzungen stören.

Die Forscher sagen, dass mit Hilfe eines Fehlers, kann ein Angreifer seine eigenen Nachrichten in aktiven Chats einfügen, sie bearbeiten, und führen DoS-Attacken, aufgrund derer Chat-Sitzungen dringend beendet werden.

„Beachten Sie, dass wir nicht gesehen hatten Angreifer versuchen, dieses spezielle Bypass in unseren Kundendaten, und glaube nicht, dass es aktiv ausgenutzt wurde“, - Bericht Forscher.

Sanierung und Mitigation von Alert-Logic

Die primäre Auflösung dieser Sicherheitsanfälligkeit ist das Plugin auf die neueste Version zu aktualisieren. Wenn dies nicht erreicht werden kann, dann kann Minderungsoptionen umfassen:

Virtual Patching eine WAF mit Datenverkehr für den WP Live Chat Support REST-Endpunkt bestimmt filtern

Interessant, im letzten Monat, Saft des Spezialisten ein weiteres gefährliches Problem entdeckt in WP Live Chat Support -XSS Fehler, die Angriffe auf gefährdete Websites und zur Einführung von Schadcode ohne Authentifizierung erlaubt die Automatisierung. Criminals begann schnell, diese Sicherheitsanfälligkeit auszunutzen.

abschließend, Gemäß Zscaler ThreatLabZ, Angreifer injiziert schädliche JavaScript auf anfällige Websites, die gezwungen Umleitungen organisiert und war verantwortlich für die Ankunft der Pop-up-Fenster und gefälschte Abonnements.

Quelle: https://blog.alertlogic.com

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort