Уязвимость в плагине WP Live Chat Support для WordPress

WP Live ChatСерьёзная уязвимость была обнаружена в плагине WP Live Chat Support для системы управления контентом WordPress. Эксплуатируя обозначенную уязвимость, злоумышленник может внедрять свои сообщения в чаты и похищать логи.

Плагин WP Live Chat Support используется для добавления на сайт чата, через который операторы могут оказывать посетителям помощь и поддержку.

Эксперты компании Alert Logic выявили, что WP Live Chat Support версий 8.0.32 и ниже позволяют атакующему, который не прошел аутентификацию, получить доступ к содержимому REST API. Уязвимости присвоен номер CVE-2019-12498.

Уязвимость в плагине WP Live Chat Support для WordPress

Внедрение собственных сообщений позволяет злоумышленнику размещать в чатах вредоносные ссылки. Особую опасность данной опции придаёт тот факт, что WP Live Chat Support используется для чатов технической поддержки, то есть потенциальная жертва будет, скорее всего, относиться к собеседнику с доверием. Кроме этого, найденная уязвимость позволяет осуществить DoS-атаку против сайта, которая приведёт к экстренному завершению сессии чата.

Разработчики плагина исправили уязвимость в версии 8.0.33 (на текущий момент уже доступна версия 8.0.34). Всем тем, кто использует плагин, рекомендуется поставить актуальную версию как можно скорее.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *