Vulnerabilidade no plug-in WP Live Support Chat permite roubar registros e inserir mensagens em chats

Desenvolvedores de WP plugin de Suporte ao Vivo via Chat, que tem mais de 50,000 instalações, relatam que os usuários devem atualizar imediatamente plug-in para a versão 8.0.33 ou mais tarde.

Tele fato é que em plug-in foi detectada vulnerabilidade crítica que permite a um atacante que não tem credenciais válidas para ignorar mecanismo de autenticação.

Live Support Chat WP permite adicionar ao bate-papo livre site através do qual os funcionários podem prestar apoio e assistência ao recurso visitantes.

especialistas de Logic alerta encontrado que as versões do plugin 8.0.32 e abaixo permitir que um invasor não autenticado para ter acesso a API REST endpoints, que não deve estar disponível em circunstâncias normais. A vulnerabilidade recebeu o identificador CVE-2019-12498. Devido à exploração do bug, um atacante não só pode roubar todos os logs de chats já concluídas, mas também interferir com sessões de chat ainda ativos.

Os pesquisadores dizem que, com a ajuda de um bug, um atacante pode inserir suas próprias mensagens em chats ativos, editá-los, e realizar ataques DoS, devido a que será encerrada com urgência sessões de chat.

“Note-se que não tínhamos visto atacantes tentar este desvio específico em nossos dados de clientes, e não acredito que ele estava sendo ativamente explorados”, - relatório pesquisadores.

Remediação e mitigação da Logic Alerta

A resolução primária desta vulnerabilidade é atualizar o plugin para a versão mais recente. Se isso não pode ser alcançado, em seguida, as opções de mitigação podem incluir:

patching virtual usando um WAF para filtrar o tráfego destinado para o endpoint WP Vivo via Chat suporte a REST

Curiosamente, no mês passado, suco de especialistas descobriu um outro problema perigoso de Apoio Live Chat WP -XSS bug, o que permitiu automatizar ataques em sites vulneráveis ​​e introduzir códigos maliciosos sem autenticação. Os criminosos rapidamente começou a explorar esta vulnerabilidade.

Concluindo, De acordo com Zscaler ThreatLabZ, atacantes injetado JavaScript malicioso em sites vulneráveis, que organizou redirecionamentos forçados e foi responsável pela chegada de janelas pop-up e assinaturas falsificadas.

Fonte: https://blog.alertlogic.com

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

MageCart na Cloud Platform Heroku

Os investigadores encontraram vários MageCart Web Skimmers Em Heroku Cloud Platform

Pesquisadores da Malwarebytes informou sobre encontrar vários skimmers MageCart web na plataforma Heroku nuvem …

Android Spyware CallerSpy

máscaras spyware CallerSpy como uma aplicação de chat Android

Trend Micro especialistas descobriram a CallerSpy malwares, que mascara como uma aplicação de chat Android, …

Deixar uma resposta