Sicherheitsforscher haben einen kritischen Fehler in der Unterstützung von WordPress Live Chat entdeckt, der von einem Angreifer ausgenutzt werden kann, ohne dass gültige Anmeldeinformationen erforderlich sind.
Über 50,000 Websites haben das WordPress-Plugin installiert, mit dem Websites ihren Besuchern kostenlos Live-Support bieten können.
Alert Logic entdeckte zuerst die in Version 8.0.32 vorhandene Sicherheitsanfälligkeit bezüglich der Umgehung der kritischen Authentifizierung, während im WP Live Chat-Plugin für WordPress nach einer Reihe anderer Sicherheitsanfälligkeiten gesucht wurde. Die neue Sicherheitsanfälligkeit ermöglicht nicht authentifizierten Benutzern den Zugriff auf eingeschränkte REST-API-Endpunkte aufgrund einer kritischen Sicherheitsanfälligkeit bezüglich der Umgehung der CVE-2019-12498-Authentifizierung.
In einem Blog-Beitrag, in dem die Sicherheitsanfälligkeit detailliert beschrieben wird, erklärten die Forscher von Alert Logic, warum REST-API-Endpunkte anfällig für Angriffe sind.
"Eingeschränkte REST-API-Endpunkte in betroffenen Versionen von WP Live Chat sind aufgrund eines Fehlers in der Funktion 'wplc_api_permission_check ()' für nicht authentifizierte Angreifer anfällig." ""
Live-Chat-Sicherheitslücke
Wenn REST-API-Endpunkte aufgrund des Fehlers verfügbar gemacht werden, können potenzielle Angreifer ganze Diskussionsprotokolle für alle protokollierten Chat-Sitzungen auf einer Website extrahieren, Text in Diskussionssitzungen einfügen, injizierte Nachrichten ändern und Denial-of-Service-Angriffe starten, indem sie "willkürlich beenden" aktive Chat-Sitzungen. "
Für Administratoren, die das Plugin nicht sofort aktualisieren können, um das Problem zu beheben, schlägt Alert Logic eine Lösung in Form einer "virtuellen Lösung mit Hilfe einer WAF" vor, um den für den REST-Endpunkt des WP Live Chat Support bestimmten Datenverkehr zu filtern.
Laut Angaben des Unternehmens hat kein Angreifer versucht, das Problem der Umgehung der Authentifizierung auszunutzen, und der Plugin-Entwickler hat drei Tage nach seiner ersten Veröffentlichung Ende Mai einen Fix für die Sicherheitsanfälligkeit veröffentlicht. .
Wenn Sie oder Ihre Unternehmenswebsite das Plugin für den WP Live Chat-Support verwenden, wird empfohlen, ein Upgrade auf Version 8.0.33 oder höher durchzuführen, um zu verhindern, dass Ihre Website Opfer von Betrug wird. Attacke.
Durch den blutenden Computer
