Nova falha no WordPress Live Chat Plugin permite que hackers roubem e sequestrem sessões

Pesquisadores de segurança têm alertado sobre uma vulnerabilidade crítica que descobriram em um dos populares plugins WordPress Live Chat, que, se explorados, podem permitir que atacantes remotos não autorizados roubem logs de bate-papo ou manipulem sessões de chat.

A vulnerabilidade, identificada como CVE-2019-12498, reside no ‘WP Live Chat Support’ que atualmente está sendo usado por mais de 50.000 empresas para fornecer suporte ao cliente e conversar com visitantes através de seus sites.

Descoberta por pesquisadores de segurança cibernética na Alert Logic, a falha se origina de uma verificação de validação imprópria para autenticação que, aparentemente, poderia permitir que usuários não autenticados acessassem terminais restritos da API REST.

Conforme descrito pelos pesquisadores, um possível invasor remoto pode explorar pontos de extremidade expostos para fins maliciosos, incluindo:

  • Roubar todo o histórico do chat para todas as sessões de chat,
  • Modificando ou excluindo o histórico de bate-papo,
  • Injetar mensagens em uma sessão de bate-papo ativa, se passando por um agente de suporte ao cliente,
  • Encerrando vigorosamente as sessões de chat ativas, como parte de um ataque de negação de serviço (DoS).

O problema afeta todos os sites do WordPress, e também seus clientes, que ainda estão usando o WP Live Chat Support versão 8.0.32 ou anterior para oferecer suporte ao vivo.

Pesquisadores relataram responsavelmente o problema para os mantenedores deste plugin WordPress afetado, que então proativamente e imediatamente lançaram uma versão atualizada e corrigida do seu plugin na semana passada.

Embora os pesquisadores ainda não tenham visto nenhuma exploração ativa da falha na natureza, os administradores do WordPress são altamente recomendados para instalar a versão mais recente do plugin o mais rápido possível.

Acreditamos que você já tenha ouvido falar desse tipo de chat gratuito, comente abaixo se você teve algum problema relacionado a este artigo.

E Não deixe de visitar nosso site: www.deltaservers.com.br para acompanhar todas as nossas promoções.

Author: Lucas Alves

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.