Una vulnerabilidad en el plugin WP Live chat permite el robo de registros e insertar mensajes en los chats

Los desarrolladores de WP plugin de Chat en vivo, que tiene más de 50,000 instalaciones, informan que los usuarios deben actualizar de inmediato a la versión plug-in 8.0.33 o después.

Tlo cierto es que en el plugin fue detectado vulnerabilidad crítica que permite a un atacante que no tiene credenciales válidas para eludir el mecanismo de autenticación.

WP Live chat permite añadir a la página web libre de la charla a través del cual los empleados pueden proporcionar apoyo y asistencia a los visitantes de recursos.

Los expertos de La lógica de alerta encontrado que las versiones de plugin 8.0.32 y por debajo de permitir a un atacante no autenticado para acceder a API REST criterios de valoración, que no deben estar disponibles en circunstancias normales. La vulnerabilidad recibido el identificador CVE-2019 a 12498. Debido a la explotación del error, un atacante no sólo puede robar todos los registros de los chats ya terminadas, sino también interferir con las sesiones de chat todavía activos.

Los investigadores afirman que con la ayuda de un error, un atacante puede insertar sus propios mensajes en chats activos, editarlos, y llevar a cabo ataques de denegación de servicio, debido a lo cual se dará por terminado con urgencia sesiones de chat.

“Tenga en cuenta que no habíamos visto atacantes intentan esta derivación en concreto de nuestro datos de clientes, y no creen que estaba siendo activamente explotada”, - informe de los investigadores.

Remediación y mitigación de la lógica de alerta

La resolución principal de esta vulnerabilidad es actualizar el plugin para la versión más reciente. Si esto no se puede lograr, a continuación, las opciones de mitigación pueden incluir:

parches virtuales utilizando un WAF para filtrar el tráfico destinado para el punto final WP Chat en vivo soporte de apoyo

Curiosamente, en el último mes, jugo de especialistas descubierto otro problema peligroso en WP Live chat -bug XSS, lo que permitió la automatización de los ataques a los sitios vulnerables y la introducción de código malicioso sin autenticación. Los delincuentes rápidamente comenzaron a explotar esta vulnerabilidad.

concluyendo, De acuerdo a Zscaler ThreatLabZ, atacantes inyectar código JavaScript malicioso en sitios vulnerables, que organizó redirecciones forzados y fue responsable de la llegada de ventanas pop-up y suscripciones falsas.

Fuente: https://blog.alertlogic.com

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

MageCart en la plataforma de nube Heroku

Los investigadores encontraron Varios MageCart Web skimmers En Heroku Cloud Platform

Investigadores de Malwarebytes informaron sobre la búsqueda de varios skimmers MageCart web en la plataforma de nube Heroku …

Android Spyware CallerSpy

máscaras spyware CallerSpy como una aplicación de chat Android

expertos de Trend Micro descubrieron que el malware CallerSpy, que enmascara como una aplicación de chat y Android, …

Deja una respuesta