Os analistas da empresa de Sucuri encontrada em WP Vivo via Chat Apoio-plugin bug perigoso.
Vulnerability permite atacantes não autorizadas realizar XSS-ataque e implementar malware em todas as páginas do site que utilizam esta extensão.“Uma falha XSS é muito sério em si mesmo. Ele permite que hackers para injetar códigos maliciosos em sites ou aplicações web e visitantes de compromisso’ contas ou expô-los ao conteúdo da página modificada”, - dizem especialistas Sucuri.
Depois de receber a informação sobre esta desvantagem, desenvolvedores fixa-lo com a próxima versão do seu produto.
Problema ligado com aplicação incorrecta do pedido admin_init. Conforme os pesquisadores descobriram, WP criadores Apoio Live chat usado este gancho para chamar wplc_head_basic função que é responsável pela atualização dos parâmetros do plugin. Com este mecanismo dos direitos dos usuários verificar a execução de tais acções estava ausente no código do programa.
especialistas Sucuri argumentam que, como admin_init funciona através de utilitários de sistema admin-post.php ou admin-ajax.php, atacante deve atualizar parâmetro wplc_custom_js e acomodar seu código lá.
Com isso, cibercriminoso pode adicionar um script de malware em qualquer página do site vulnerável, onde instalado WP Suporte ao Vivo via Chat. para o ataque, hacker não terá nenhum privilégio adicional e até mesmo autorização no web-recurso. Os atacantes podem agir com o uso de bots simples, colocando automaticamente o seu código em títulos de página através do wplc_head_basic parâmetro.
Os investigadores informaram desenvolvedores sobre um bug de abril 30, 2019, e em maio 15 criadores de extensão lançado versão WP Vivo via Chat Suporte 8.0.27 onde a vulnerabilidade foi fixado. Todos os usuários de plugins são recomendados para instalar o patch o mais rápido possível.
De acordo com o repositório WordPress, extensão problemática instalado em mais de 60 mil sites. Como a experiência mostra, cibercriminosos rastrear informações sobre bugs em extensões e tentar encontrar recursos não corrigidas, mesmo que os desenvolvedores já lançou um patch.
