Vulnerabilidade no plug-in WP Live Support Chat permite roubar registros e inserir mensagens em chats

Desenvolvedores de WP plugin de Suporte ao Vivo via Chat, que tem mais de 50,000 instalações, relatam que os usuários devem atualizar imediatamente plug-in para a versão 8.0.33 ou mais tarde.

Tele fato é que em plug-in foi detectada vulnerabilidade crítica que permite a um atacante que não tem credenciais válidas para ignorar mecanismo de autenticação.

Live Support Chat WP permite adicionar ao bate-papo livre site através do qual os funcionários podem prestar apoio e assistência ao recurso visitantes.

especialistas de Logic alerta encontrado que as versões do plugin 8.0.32 e abaixo permitir que um invasor não autenticado para ter acesso a API REST endpoints, que não deve estar disponível em circunstâncias normais. A vulnerabilidade recebeu o identificador CVE-2019-12498. Devido à exploração do bug, um atacante não só pode roubar todos os logs de chats já concluídas, mas também interferir com sessões de chat ainda ativos.

Os pesquisadores dizem que, com a ajuda de um bug, um atacante pode inserir suas próprias mensagens em chats ativos, editá-los, e realizar ataques DoS, devido a que será encerrada com urgência sessões de chat.

“Note-se que não tínhamos visto atacantes tentar este desvio específico em nossos dados de clientes, e não acredito que ele estava sendo ativamente explorados”, - relatório pesquisadores.

Curiosamente, no mês passado, suco de especialistas descobriu um outro problema perigoso de Apoio Live Chat WP -XSS bug, o que permitiu automatizar ataques em sites vulneráveis ​​e introduzir códigos maliciosos sem autenticação. Os criminosos rapidamente começou a explorar esta vulnerabilidade.

Concluindo, De acordo com Zscaler ThreatLabZ, atacantes injetado JavaScript malicioso em sites vulneráveis, que organizou redirecionamentos forçados e foi responsável pela chegada de janelas pop-up e assinaturas falsificadas.

Fonte: https://blog.alertlogic.com