Sårbarhet i WP Live Chat Support plugin tillater å stjele logger og sette inn meldinger i samtaler

Utviklere av WP Live Chat Support plugin, som har mer enn 50,000 installasjoner, rapporterer at brukere bør umiddelbart oppgradere plugin til versjon 8.0.33 eller senere.

Than faktum er at i plugin ble oppdaget kritisk sårbarhet som gjør at en angriper som ikke har gyldig legitimasjon for å omgå autentiseringsmekanisme.

WP Live Chat Support kan legge til nettstedet gratis chat som ansatte kan gi støtte og hjelp til ressurs besøkende.

eksperter fra Alert Logic fant at plugg-versjoner 8.0.32 og under at en uautorisert, angriper kan få tilgang til REST API endepunkter, som ikke bør være tilgjengelig under normale omstendigheter. Sikkerhetsproblemet mottatte identifikator CVE-2019-12498. På grunn av utnyttelse av feilen, en angriper kan ikke bare stjele alle logger av allerede gjennomførte samtaler, men også forstyrre fortsatt aktive chatter.

Forskerne sier at med hjelp av en feil, en angriper kan sette sine egne beskjeder til aktive samtaler, redigere dem, og utføre DoS-angrep, grunn som chatting skal snarest avsluttet.

“Merk at vi ikke hadde sett angripere prøver dette spesifikke bypass i vår kundedata, og tror ikke at det ble aktivt utnyttet”, - rapport forskere.

Remediation og Mitigation fra Alert Logic

Den primære oppløsning på dette sikkerhetsproblemet er å oppdatere plugin til nyeste versjon. Hvis dette ikke kan oppnås, så avbøtende alternativer kan inkludere:

Virtual patching bruke en WAF å filtrere trafikken bestemt for WP Live Chat Support REST endepunkt

Interessant, i den siste måneden, juice er spesialister oppdaget en annen farlig problem i WP Live Chat Support -XSS bug, som tillot å automatisere angrep på utsatte områder, og innføring av skadelig kode uten autentisering. Kriminelle raskt begynte å utnytte dette sikkerhetsproblemet.

avslutt~~POS=TRUNC, I følge ZScaler ThreatLabZ, angripere injisert skadelig Javascript på sårbare områder, som organiserte tvunget omdirigeringer og var ansvarlig for ankomsten av pop-up vinduer og falske abonnementer.

Kilde: https://blog.alertlogic.com

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

MageCart på Heroku Cloud Platform

Forskere fant flere MageCart Web Skimmers På Heroku Cloud Platform

Forskere ved Malwarebytes rapportert om å finne flere MageCart web skimmere på Heroku Cloud Platform …

Android spyware CallerSpy

CallerSpy spyware masker som en Android-chat program

Trend Micro eksperter oppdaget malware CallerSpy, som masker som en Android-chat program og, …

Legg igjen et svar