Utviklere av WP Live Chat Support plugin, som har mer enn 50,000 installasjoner, rapporterer at brukere bør umiddelbart oppgradere plugin til versjon 8.0.33 eller senere.
Than faktum er at i plugin ble oppdaget kritisk sårbarhet som gjør at en angriper som ikke har gyldig legitimasjon for å omgå autentiseringsmekanisme.WP Live Chat Support kan legge til nettstedet gratis chat som ansatte kan gi støtte og hjelp til ressurs besøkende.
eksperter fra Alert Logic fant at plugg-versjoner 8.0.32 og under at en uautorisert, angriper kan få tilgang til REST API endepunkter, som ikke bør være tilgjengelig under normale omstendigheter. Sikkerhetsproblemet mottatte identifikator CVE-2019-12498. På grunn av utnyttelse av feilen, en angriper kan ikke bare stjele alle logger av allerede gjennomførte samtaler, men også forstyrre fortsatt aktive chatter.
Forskerne sier at med hjelp av en feil, en angriper kan sette sine egne beskjeder til aktive samtaler, redigere dem, og utføre DoS-angrep, grunn som chatting skal snarest avsluttet.
“Merk at vi ikke hadde sett angripere prøver dette spesifikke bypass i vår kundedata, og tror ikke at det ble aktivt utnyttet”, - rapport forskere.
Den primære oppløsning på dette sikkerhetsproblemet er å oppdatere plugin til nyeste versjon. Hvis dette ikke kan oppnås, så avbøtende alternativer kan inkludere:
Virtual patching bruke en WAF å filtrere trafikken bestemt for WP Live Chat Support REST endepunkt
Interessant, i den siste måneden, juice er spesialister oppdaget en annen farlig problem i WP Live Chat Support -XSS bug, som tillot å automatisere angrep på utsatte områder, og innføring av skadelig kode uten autentisering. Kriminelle raskt begynte å utnytte dette sikkerhetsproblemet.
avslutt~~POS=TRUNC, I følge ZScaler ThreatLabZ, angripere injisert skadelig Javascript på sårbare områder, som organiserte tvunget omdirigeringer og var ansvarlig for ankomsten av pop-up vinduer og falske abonnementer.
Kilde: https://blog.alertlogic.com
