Los desarrolladores de WP plugin de Chat en vivo, que tiene más de 50,000 instalaciones, informan que los usuarios deben actualizar de inmediato a la versión plug-in 8.0.33 o después.
Tlo cierto es que en el plugin fue detectado vulnerabilidad crítica que permite a un atacante que no tiene credenciales válidas para eludir el mecanismo de autenticación.WP Live chat permite añadir a la página web libre de la charla a través del cual los empleados pueden proporcionar apoyo y asistencia a los visitantes de recursos.
Los expertos de La lógica de alerta encontrado que las versiones de plugin 8.0.32 y por debajo de permitir a un atacante no autenticado para acceder a API REST criterios de valoración, que no deben estar disponibles en circunstancias normales. La vulnerabilidad recibido el identificador CVE-2019 a 12498. Debido a la explotación del error, un atacante no sólo puede robar todos los registros de los chats ya terminadas, sino también interferir con las sesiones de chat todavía activos.
Los investigadores afirman que con la ayuda de un error, un atacante puede insertar sus propios mensajes en chats activos, editarlos, y llevar a cabo ataques de denegación de servicio, debido a lo cual se dará por terminado con urgencia sesiones de chat.
“Tenga en cuenta que no habíamos visto atacantes intentan esta derivación en concreto de nuestro datos de clientes, y no creen que estaba siendo activamente explotada”, - informe de los investigadores.
La resolución principal de esta vulnerabilidad es actualizar el plugin para la versión más reciente. Si esto no se puede lograr, a continuación, las opciones de mitigación pueden incluir:
parches virtuales utilizando un WAF para filtrar el tráfico destinado para el punto final WP Chat en vivo soporte de apoyo
Curiosamente, en el último mes, jugo de especialistas descubierto otro problema peligroso en WP Live chat -bug XSS, lo que permitió la automatización de los ataques a los sitios vulnerables y la introducción de código malicioso sin autenticación. Los delincuentes rápidamente comenzaron a explotar esta vulnerabilidad.
concluyendo, De acuerdo a Zscaler ThreatLabZ, atacantes inyectar código JavaScript malicioso en sitios vulnerables, que organizó redirecciones forzados y fue responsable de la llegada de ventanas pop-up y suscripciones falsas.
Fuente: https://blog.alertlogic.com
