Analytikere fra Sucuri selskapet funnet i WP Live Chat Support-plugin farlig bug.
Vulnerability gjør det mulig å uautoriserte angripere utføre XSS-angrep og implementere malware på alle sidene på nettstedet som bruker denne utvidelsen.“En XSS feil er ganske alvorlig i seg selv. Det gjør at hackere å injisere ondsinnet kode i nettsider og nettprogrammer og kompromiss besøkende’ regnskap eller utsette dem til endret sideinnhold”, - si Sucuri spesialister.
Etter å ha mottatt informasjon om denne ulempe, utviklere fikset det med neste versjon av sitt produkt.
Problemet knyttet til feil bruk av admin_init forespørsel. Som oppdaget forskere, WP Live Chat Support skaperne brukt denne kroken for å ringe wplc_head_basic funksjon som er ansvarlig for oppdatering av plugin parametere. Med denne mekanismen av brukernes rettigheter sjekke om gjennomføring av slike handlinger var fraværende i programmets kode.
Sucuri spesialister hevder at så admin_init arbeider gjennom systemverktøy admin-post.php eller admin-ajax.php, angriper skal oppdatere parameter wplc_custom_js og imøtekomme hans kode det.
Med dette, cybercriminal kan legge malware skript på en side av sårbare nettsted der installert WP Live Chat Support. for angrep, hacker vil ikke trenge noen ekstra privilegier og selv autorisasjon på web-ressurs. Angrip kan virke sammen med bruken av enkle roboter, automatisk sette koden sin side overskrifter gjennom wplc_head_basic parameter.
Forskere informert utviklere om en feil på April 30, 2019, og mai 15 skaperne av forlengelse løslatt WP Live Chat Support versjon 8.0.27 hvor sikkerhetsproblemet ble løst. Alle plugin brukere anbefales å installere oppdateringen ASAP.
Ifølge WordPress repository, problematisk utvidelse installert på mer enn 60 tusen nettsteder. Som viser erfaring, cyberkriminelle spore informasjon om feil i utvidelser og prøve å finne unpatched ressurser, selv om utviklerne har allerede gitt ut en oppdatering.
