Sicherheitsforscher haben einen kritischen Fehler in der WordPress-Live-Chat-Unterstützung entdeckt, der von einem Angreifer ausgenutzt werden kann, ohne dass gültige Anmeldeinformationen erforderlich sind. Über 50,000 Websites haben das WordPress-Plugin installiert, das Websites eine kostenlose Möglichkeit bietet, ihren Besuchern Live-Support anzubieten. Alert Logic entdeckte erstmals die kritische Schwachstelle zur Authentifizierungsumgehung in Version 8.0.32, als es nach einer Reihe weiterer Schwachstellen im WP Live Chat-Plugin für WordPress suchte. Die neue Sicherheitslücke ermöglicht nicht authentifizierten Benutzern den Zugriff auf eingeschränkte REST-API-Endpunkte aufgrund der kritischen Sicherheitslücke CVE-2019-12498 zur Authentifizierungsumgehung. In einem Blogbeitrag, in dem die Schwachstelle detailliert beschrieben wird, erklärten die Forscher von Alert Logic, warum REST-API-Endpunkte anfällig für Angriffe sind: „Eingeschränkte REST-API-Endpunkte in betroffenen Versionen von WP Live Chat sind aufgrund eines Fehlers in der Schwachstelle anfällig für Angriffe durch nicht authentifizierte Angreifer.“ 'wplc_api_permission_check()'-Funktion". "
Sicherheitslücke im Live-Chat
Wenn REST-API-Endpunkte aufgrund des Fehlers offengelegt werden, könnten potenzielle Angreifer ganze Diskussionsprotokolle für alle auf einer Website protokollierten Chat-Sitzungen extrahieren, Text in laufende Diskussionssitzungen einfügen, eingefügte Nachrichten ändern und Denial-of-Service-Angriffe „willkürlich“ starten Beenden aktiver Chat-Sitzungen.“ Für Administratoren, die das Plugin nicht sofort aktualisieren können, um das Problem zu beheben, schlägt Alert Logic eine Lösung in Form eines „virtuellen Workarounds mit Hilfe einer WAF vor, um den für den WP Live Chat Support REST-Endpunkt bestimmten Datenverkehr zu filtern“, so das Unternehmen Bisher hat kein Angreifer versucht, das Problem der Authentifizierungsumgehung auszunutzen, und der Entwickler des Plugins hat drei Tage nach seiner ersten Offenlegung Ende Mai einen Fix für die Schwachstelle veröffentlicht. Wenn Sie oder die Website Ihres Unternehmens das WP Live Chat Support-Plugin verwenden, ist dies der Fall Wir empfehlen Ihnen, auf Version 8.0.33 oder höher zu aktualisieren, um zu verhindern, dass Ihre Website Opfer eines Betrugsangriffs wird. Durch den blutenden Computer