Huis » Nieuws » Onderzoekers ontdekten ernstige kwetsbaarheid in WP Live Chat Ondersteuning plugin

Onderzoekers ontdekten ernstige kwetsbaarheid in WP Live Chat Ondersteuning plugin

Analisten van Sucuri bedrijf vond in WP Live Chat Ondersteuning-plugin gevaarlijke bug.

Vulnerability maakt het mogelijk om ongeoorloofde aanvallers uit te voeren XSS-aanval en implementeren van malware op alle pagina's van de website die deze extensie gebruiken.

“Een XSS minpunt is vrij ernstige op zich. Het stelt hackers om kwaadaardige code te injecteren in websites of web apps en compromissen bezoekers’ rekeningen of blootstellen aan gewijzigde inhoud van de pagina”, - zeg Sucuri specialisten.

Na het ontvangen van informatie over dit bezwaar, ontwikkelaars vaste het met de volgende release van hun product.

Probleem in verband met onjuiste toepassing van admin_init verzoek. Zoals ontdekte onderzoekers, WP Live Chat Ondersteuning makers gebruikt deze haak om te bellen wplc_head_basic functie die verantwoordelijk is voor de actualisering van plugin parameters. Met dit mechanisme van de rechten van gebruikers te controleren op het uitvoeren van dergelijke acties was afwezig in de code-programma's.

Sucuri specialisten beweren dat als admin_init werkt door middel van het systeem utilities admin-post.php of admin-ajax.php, aanvaller moet parameter bij te werken wplc_custom_js en de huisvesting van zijn code er.

Hiermee, cybercrimineel kan malware script toe te voegen op een pagina van kwetsbare website waar geïnstalleerd WP Live Chat Ondersteuning. voor de aanval, hacker zal geen extra privileges en zelfs de vergunning op web-resource nodig. Aanvallers kunnen handelen met het gebruik van eenvoudige bots, automatisch zetten hun code in paginakoppen door de wplc_head_basic parameter.

Screenshot met 'wplc_head_basic' functie
Screenshot met ‘wplc_head_basic’ functie

Onderzoekers op de hoogte ontwikkelaars over een bug on April 30, 2019, en mei 15 makers van extensie uitgebracht WP Live Chat Ondersteuning versie 8.0.27 waarbij kwetsbaarheid werd vastgesteld. Alle plug-gebruikers wordt aangeraden patch zo snel mogelijk te installeren.

Volgens de WordPress repository, problematische extensie geïnstalleerd op meer dan 60 duizend websites. Zoals blijkt ervaring, cybercriminelen trace informatie over bugs in extensions en proberen om ongepatchte middelen te vinden, zelfs als de ontwikkelaars al een patch vrijgegeven.

LEZEN  Ontdekt complex backdoor die groep cybercriminelen Turla gebruikt sinds 2014

Bron: https://www.bleepingcomputer.com

[Totaal: 0    Gemiddelde: 0/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

Android 0-day kwetsbaarheid

Een andere kwetsbaarheid 0-day in Android ontdekt

Deelnemers aan het Google-project Zero Day Initiative (DENKEN) published details of a 0-day vulnerability

Android duurder dan iOS

Zerodium gewaardeerd eerst exploits voor Android duurder dan voor iOS

De bekende kwetsbaarheid broker, Zerodium, heeft haar prijslijst bijgewerkt, and now for the first

Laat een antwoord achter