Lỗ hổng nghiêm trọng trong Plugin Live Chat của WordPress

Lỗ hổng nghiêm trọng trong Plugin Live Chat của WordPress

June 12, 2019 | vietsunshine

Các nhà nghiên cứu bảo mật đã cảnh báo về một lỗ hổng nghiêm trọng mà họ đã phát hiện trong plugin WordPress Live Chat phổ biến, nếu được khai thác, có thể cho phép kẻ tấn công từ xa đánh cắp nhật ký trò chuyện hoặc thao túng các phiên trò chuyện.

Lỗ hổng, được xác định là CVE-2019-12498, nằm trong “WP Live Chat Support” hiện đang được hơn 50.000 doanh nghiệp sử dụng để cung cấp hỗ trợ khách hàng và trò chuyện với khách truy cập thông qua trang web của họ.

Được phát hiện bởi các nhà nghiên cứu an ninh mạng tại Alert Logic, lỗ hổng bắt nguồn do kiểm tra xác thực không đúng để xác thực rõ ràng có thể cho phép người dùng không được xác thực truy cập vào các API REST endpoint bị hạn chế.

Lỗ hổng nghiêm trọng trong Plugin Live Chat của WordPress 2

Theo mô tả của các nhà nghiên cứu, kẻ tấn công từ xa tiềm năng có thể khai thác các điểm cuối bị lộ cho các mục đích xấu, bao gồm:

  • đánh cắp toàn bộ lịch sử trò chuyện cho tất cả các phiên trò chuyện,
  • sửa đổi hoặc xóa lịch sử trò chuyện,
  • inject tin nhắn vào một phiên trò chuyện đang hoạt động, đóng vai trò là agent hỗ trợ khách hàng,
  • kết thúc các phiên trò chuyện đang hoạt động, như là một phần của cuộc tấn công từ chối dịch vụ (DoS).

Vấn đề ảnh hưởng đến tất cả các trang web WordPress và cả khách hàng của họ, những người vẫn đang sử dụng WP Live Chat Support phiên bản 8.0.32 trở về trước để cung cấp hỗ trợ trực tiếp.

Các nhà nghiên cứu đã báo cáo vấn đề với những người duy trì plugin WordPress bị ảnh hưởng này,  và bản phiên bản cập nhật và vá của plugin đã được phát hành vào tuần trước.

Mặc dù các nhà nghiên cứu chưa thấy bất kỳ hoạt động khai thác lỗ hổng nào trong tự nhiên, các quản trị viên WordPress nên cài đặt phiên bản mới nhất của plugin càng sớm càng tốt.

Nguồn: New Flaw in WordPress Live Chat Plugin Lets Hackers Steal and Hijack Sessions

Xem thêm: Lỗ hổng WordPress nghiêm trọng cho phép hacker tấn công từ xa website

[Hacked Website Report 2018] Hacker tập trung nhắm vào WordPress

Tags: , ,