Уязвимость в плагине WP Live Chat Support для WordPress

WP Live ChatСерьёзная уязвимость была обнаружена в плагине WP Live Chat Support для системы управления контентом WordPress. Эксплуатируя обозначенную уязвимость, злоумышленник может внедрять свои сообщения в чаты и похищать логи.

Плагин WP Live Chat Support используется для добавления на сайт чата, через который операторы могут оказывать посетителям помощь и поддержку.

Эксперты компании Alert Logic выявили, что WP Live Chat Support версий 8.0.32 и ниже позволяют атакующему, который не прошел аутентификацию, получить доступ к содержимому REST API. Уязвимости присвоен номер CVE-2019-12498.

Уязвимость в плагине WP Live Chat Support для WordPress

Внедрение собственных сообщений позволяет злоумышленнику размещать в чатах вредоносные ссылки. Особую опасность данной опции придаёт тот факт, что WP Live Chat Support используется для чатов технической поддержки, то есть потенциальная жертва будет, скорее всего, относиться к собеседнику с доверием. Кроме этого, найденная уязвимость позволяет осуществить DoS-атаку против сайта, которая приведёт к экстренному завершению сессии чата.

Разработчики плагина исправили уязвимость в версии 8.0.33 (на текущий момент уже доступна версия 8.0.34). Всем тем, кто использует плагин, рекомендуется поставить актуальную версию как можно скорее.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *