Серьёзная уязвимость была обнаружена в плагине WP Live Chat Support для системы управления контентом WordPress. Эксплуатируя обозначенную уязвимость, злоумышленник может внедрять свои сообщения в чаты и похищать логи.
Плагин WP Live Chat Support используется для добавления на сайт чата, через который операторы могут оказывать посетителям помощь и поддержку.
Эксперты компании Alert Logic выявили, что WP Live Chat Support версий 8.0.32 и ниже позволяют атакующему, который не прошел аутентификацию, получить доступ к содержимому REST API. Уязвимости присвоен номер CVE-2019-12498.
Внедрение собственных сообщений позволяет злоумышленнику размещать в чатах вредоносные ссылки. Особую опасность данной опции придаёт тот факт, что WP Live Chat Support используется для чатов технической поддержки, то есть потенциальная жертва будет, скорее всего, относиться к собеседнику с доверием. Кроме этого, найденная уязвимость позволяет осуществить DoS-атаку против сайта, которая приведёт к экстренному завершению сессии чата.
Разработчики плагина исправили уязвимость в версии 8.0.33 (на текущий момент уже доступна версия 8.0.34). Всем тем, кто использует плагин, рекомендуется поставить актуальную версию как можно скорее.
Статьи по теме: