Бесплатно Разработчики плагина WP Live Chat Support сообщили об уязвимости продукта, позволяющей хакерам

Everest_RR

Местный
Private Club
Регистрация
8/10/18
Сообщения
232
Репутация
20
Реакции
255
RUB
0
wplive_square.png
Разработчики плагина WP Live Chat Support сообщили об уязвимости продукта, позволяющей хакерам похищать логи и вмешиваться в чаты


Плагин WP Live Chat Support очень популярен, он насчитывает больше 50000 установок, что обеспечено его доступностью, легкостью и другими неоспоримыми преимуществами. Однако недавно появилось сообщение от разработчиков, в котором говорится, что пользователи незамедлительно должны произвести обновление плагина до версии не ниже 8.0.33. Причина объясняется также очень просто. Оказывается, плагин критически уязвим. А, значит, хакеры, у которых нет действующих записей учета, спокойно могут обойти аутентификационные механизмы.

Преимущества плагина

Благодаря WP Live Chat Support, разработчики сайтов на платформе WordPress могут добавлять бесплатные чаты. С их помощью сотрудники оказывают максимальную помощь и поддержку посетителям сайта в режиме реального времени. Это весьма удобно и очень практично.

Купив такой плагин, владелец сайта получит прекрасный виджет чата, который легко настраивается, отличается массой полезного функционала (например, неограниченным количеством агентов), великолепной скоростью и возможностью автоматических ответов. Кроме того, чат создается с многоязычным интерфейсом и возможностью записи сообщений.

С помощью плагина можно отслеживать, сколько посетителей было за определенное время, блокировать по IP и т. д.

Особенности проблемы

Недавно специалисты компании-разработчика выявили серьезную проблему, касающуюся старых версий плагина. Суть ее в том, что неаутентифицированные атакующие пользователи, при желании, получают доступ к эндпоиантам REST API. Обычно они закрыты.

Особенно уязвим идентификатор CVE-2019-12498. Если хакер решит воспользоваться багом, он сможет украсть не только логи лив-чатов, которые закончены, но и вмешаться в активные сессии. В действующих чатах хакеры способны как добавлять свои сообщения, так и редактировать имеющиеся.

Что делать?

Нужно срочно обновить плагин до версии 8.0.33 или выше. Если возможности моментального обновления пока нет, можно защитить свой сайт настройками WAF-фильтров.

Примечательно, что буквально некоторое время назад специалистами компании была обнаружена другая не менее опасная и неприятная проблема: XSS-баг. С его помощью хакеры автоматически атаковали на уязвимые сайты, а вредоносные коды вводили прямо без аутентификации.
 
Сверху Снизу