WP 라이브 채팅 지원 플러그인의 취약점으로 채팅 메시지를 로그를 훔치고 삽입 허용

WP 라이브 채팅 지원 플러그인의 개발자, 어떤 이상이 50,000 설치, 사용자가 즉시 버전으로 플러그인을 업그레이드해야합니다보고 8.0.33 이상.

그는 사실은 플러그인에 인증 메커니즘을 우회하는 유효한 자격 증명이없는 공격자를 허용 중요한 취약점이 발견 된 것입니다.

WP 라이브 채팅 지원 직원 지원 및 방문자를 자원하는 지원을 제공 할 수있는 웹 사이트 무료 채팅에 추가 할 수 있습니다.

의 전문가 경고 논리 이 플러그인 버전을 발견 8.0.32 아래 인증되지 않은 공격자가에 액세스 할 수 있도록 REST API 엔드 포인트, 정상적인 상황에서 사용할 수 없습니다해야하는. 취약점 식별자를 수신 CVE-2019-12498. 때문에 버그의 착취, 공격자는 이미 완료 채팅의 모든 로그를 훔칠 수 없습니다, 하지만 여전히 활성 채팅 세션을 방해.

연구진은 버그의 도움으로 그런 말을, 공격자는 활성 채팅으로 자신의 메시지를 삽입 할 수 있습니다, 를 편집, 및 DoS 공격을 수행, 때문에 어느로 채팅 세션 긴급 종료됩니다.

"우리가 보지 못한 주 공격자는 고객 데이터에이 특정 우회 시도, 그리고 "이 적극적으로 악용되고 있다고 생각하지 않습니다, - 보고서 연구원.

경고 논리에서 교정 및 완화

이 취약점의 기본 해상도는 최신 버전으로 플러그인을 업데이트하는 것입니다. 이 달성 할 수없는 경우, 다음 완화 옵션을 포함 할 수있다:

WP와 라이브 채팅 지원 REST 엔드 포인트로 향하는 트래픽을 필터링하는 웹 애플리케이션 방화벽을 사용하여 가상 패치

재미있게, 지난 달에, 주스의 전문가 또 다른 위험 문제를 발견 WP 라이브 채팅 지원에서 -XSS 버그, 취약한 사이트에 대한 공격을 자동화하고 인증없이 악성 코드를 도입하여 허용되는. 범죄자들은 ​​신속하게이 취약점을 악용하기 시작했다.

결론, 에 따르면 스케일러 ThreatLabZ, 공격자는 취약한 사이트에 악성 자바 스크립트를 삽입, 강제 리디렉션을 조직하고 팝업 창 가짜 구독 도착에 대한 책임이있는.

출처: https://blog.alertlogic.com

트로이 킬러 소개

메모리 스틱에 트로이 킬러 휴대용 운반. 당신은 당신이 어디를 가든 당신의 PC가 어떤 사이버 위협에 저항 도울 수 있는지 확인하십시오.

또한 확인

Heroku가 클라우드 플랫폼에 MageCart

연구진은 여러 MageCart 웹 스키머에 Heroku가 클라우드 플랫폼 발견

Malwarebytes 연구원은 Heroku가 클라우드 플랫폼에서 여러 MageCart 웹 스키머를 찾는 것에 대해보고 …

안드로이드 스파이웨어 CallerSpy

안드로이드 채팅 응용 프로그램으로 CallerSpy 스파이웨어 마스크

트렌드 마이크로의 전문가들은 악성 코드 CallerSpy 발견, 안드로이드 채팅 응용 프로그램으로하는 마스크와, …

회신을 남겨주