Casa » Notícia » Os investigadores descobriram a vulnerabilidade grave no WP plugin de Suporte ao Vivo via Chat

Os investigadores descobriram a vulnerabilidade grave no WP plugin de Suporte ao Vivo via Chat

Os analistas da empresa de Sucuri encontrada em WP Vivo via Chat Apoio-plugin bug perigoso.

Vulnerability permite atacantes não autorizadas realizar XSS-ataque e implementar malware em todas as páginas do site que utilizam esta extensão.

“Uma falha XSS é muito sério em si mesmo. Ele permite que hackers para injetar códigos maliciosos em sites ou aplicações web e visitantes de compromisso’ contas ou expô-los ao conteúdo da página modificada”, - dizem especialistas Sucuri.

Depois de receber a informação sobre esta desvantagem, desenvolvedores fixa-lo com a próxima versão do seu produto.

Problema ligado com aplicação incorrecta do pedido admin_init. Conforme os pesquisadores descobriram, WP criadores Apoio Live chat usado este gancho para chamar wplc_head_basic função que é responsável pela atualização dos parâmetros do plugin. Com este mecanismo dos direitos dos usuários verificar a execução de tais acções estava ausente no código do programa.

especialistas Sucuri argumentam que, como admin_init funciona através de utilitários de sistema admin-post.php ou admin-ajax.php, atacante deve atualizar parâmetro wplc_custom_js e acomodar seu código lá.

Com isso, cibercriminoso pode adicionar um script de malware em qualquer página do site vulnerável, onde instalado WP Suporte ao Vivo via Chat. para o ataque, hacker não terá nenhum privilégio adicional e até mesmo autorização no web-recurso. Os atacantes podem agir com o uso de bots simples, colocando automaticamente o seu código em títulos de página através do wplc_head_basic parâmetro.

Tela com 'wplc_head_basic' função
Tela com ‘wplc_head_basic’ função

Os investigadores informaram desenvolvedores sobre um bug de abril 30, 2019, e em maio 15 criadores de extensão lançado versão WP Vivo via Chat Suporte 8.0.27 onde a vulnerabilidade foi fixado. Todos os usuários de plugins são recomendados para instalar o patch o mais rápido possível.

De acordo com o repositório WordPress, extensão problemática instalado em mais de 60 mil sites. Como a experiência mostra, cibercriminosos rastrear informações sobre bugs em extensões e tentar encontrar recursos não corrigidas, mesmo que os desenvolvedores já lançou um patch.

LER  Vulnerabilidades em alguns roteadores D-Link e Comba revelam credenciais em formato de texto simples

Fonte: https://www.bleepingcomputer.com

[Total: 0    Média: 0/5]

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

Nemty ransomware desenvolvimento

desenvolvedores Nemty ransomware continuar a melhorar seus malwares

desenvolvedores Nemty ransomware continuar a trabalhar ativamente em seu malware, desenvolvê-lo em um esforço …

Metasploit publicou um exploit para BlueKeep

desenvolvedores Metasploit publicar exploit para a vulnerabilidade BlueKeep

desenvolvedores Metasploit publicou um exploit para a vulnerabilidade BlueKeep. Ele permite a execução de código e …

Deixar uma resposta