Casa » Notícia » Os investigadores descobriram a vulnerabilidade grave no WP plugin de Suporte ao Vivo via Chat

Os investigadores descobriram a vulnerabilidade grave no WP plugin de Suporte ao Vivo via Chat

Os analistas da empresa de Sucuri encontrada em WP Vivo via Chat Apoio-plugin bug perigoso.

Vulnerability permite atacantes não autorizadas realizar XSS-ataque e implementar malware em todas as páginas do site que utilizam esta extensão.

“Uma falha XSS é muito sério em si mesmo. Ele permite que hackers para injetar códigos maliciosos em sites ou aplicações web e visitantes de compromisso’ contas ou expô-los ao conteúdo da página modificada”, - dizem especialistas Sucuri.

Depois de receber a informação sobre esta desvantagem, desenvolvedores fixa-lo com a próxima versão do seu produto.

Problema ligado com aplicação incorrecta do pedido admin_init. Conforme os pesquisadores descobriram, WP criadores Apoio Live chat usado este gancho para chamar wplc_head_basic função que é responsável pela atualização dos parâmetros do plugin. Com este mecanismo dos direitos dos usuários verificar a execução de tais acções estava ausente no código do programa.

especialistas Sucuri argumentam que, como admin_init funciona através de utilitários de sistema admin-post.php ou admin-ajax.php, atacante deve atualizar parâmetro wplc_custom_js e acomodar seu código lá.

Com isso, cibercriminoso pode adicionar um script de malware em qualquer página do site vulnerável, onde instalado WP Suporte ao Vivo via Chat. para o ataque, hacker não terá nenhum privilégio adicional e até mesmo autorização no web-recurso. Os atacantes podem agir com o uso de bots simples, colocando automaticamente o seu código em títulos de página através do wplc_head_basic parâmetro.

Tela com 'wplc_head_basic' função
Tela com ‘wplc_head_basic’ função

Os investigadores informaram desenvolvedores sobre um bug de abril 30, 2019, e em maio 15 criadores de extensão lançado versão WP Vivo via Chat Suporte 8.0.27 onde a vulnerabilidade foi fixado. Todos os usuários de plugins são recomendados para instalar o patch o mais rápido possível.

De acordo com o repositório WordPress, extensão problemática instalado em mais de 60 mil sites. Como a experiência mostra, cibercriminosos rastrear informações sobre bugs em extensões e tentar encontrar recursos não corrigidas, mesmo que os desenvolvedores já lançou um patch.

LER  A vulnerabilidade de Docker permite ler e escrever qualquer arquivo no host

Fonte: https://www.bleepingcomputer.com

[Total: 0    Média: 0/5]

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

Vulnerabilidade Oracle WebLogic

A Oracle lançou uma correção urgente para eliminar vulnerabilidades críticas no WebLogic Server

A empresa disse que um grupo desconhecido de cibercriminosos em ataques reais já está ativamente …

Vulnerabilidades no MMC permitem tomar o controle sobre o sistema

O Console de Gerenciamento Microsoft (MMC), usada por administradores de sistema para configurar e monitorar o desempenho do sistema, …

Deixar uma resposta