Analisten van Sucuri bedrijf vond in WP Live Chat Ondersteuning-plugin gevaarlijke bug.
Vulnerability maakt het mogelijk om ongeoorloofde aanvallers uit te voeren XSS-aanval en implementeren van malware op alle pagina's van de website die deze extensie gebruiken.“Een XSS minpunt is vrij ernstige op zich. Het stelt hackers om kwaadaardige code te injecteren in websites of web apps en compromissen bezoekers’ rekeningen of blootstellen aan gewijzigde inhoud van de pagina”, - zeg Sucuri specialisten.
Na het ontvangen van informatie over dit bezwaar, ontwikkelaars vaste het met de volgende release van hun product.
Probleem in verband met onjuiste toepassing van admin_init verzoek. Zoals ontdekte onderzoekers, WP Live Chat Ondersteuning makers gebruikt deze haak om te bellen wplc_head_basic functie die verantwoordelijk is voor de actualisering van plugin parameters. Met dit mechanisme van de rechten van gebruikers te controleren op het uitvoeren van dergelijke acties was afwezig in de code-programma's.
Sucuri specialisten beweren dat als admin_init werkt door middel van het systeem utilities admin-post.php of admin-ajax.php, aanvaller moet parameter bij te werken wplc_custom_js en de huisvesting van zijn code er.
Hiermee, cybercrimineel kan malware script toe te voegen op een pagina van kwetsbare website waar geïnstalleerd WP Live Chat Ondersteuning. voor de aanval, hacker zal geen extra privileges en zelfs de vergunning op web-resource nodig. Aanvallers kunnen handelen met het gebruik van eenvoudige bots, automatisch zetten hun code in paginakoppen door de wplc_head_basic parameter.
Onderzoekers op de hoogte ontwikkelaars over een bug on April 30, 2019, en mei 15 makers van extensie uitgebracht WP Live Chat Ondersteuning versie 8.0.27 waarbij kwetsbaarheid werd vastgesteld. Alle plug-gebruikers wordt aangeraden patch zo snel mogelijk te installeren.
Volgens de WordPress repository, problematische extensie geïnstalleerd op meer dan 60 duizend websites. Zoals blijkt ervaring, cybercriminelen trace informatie over bugs in extensions en proberen om ongepatchte middelen te vinden, zelfs als de ontwikkelaars al een patch vrijgegeven.
