WordPress插件Windows Live Chat存在持久性跨站点脚本XSS漏洞

2019年5月18日00:01:18 发表评论

WordPress插件Windows Live Chat存在持久性跨站点脚本XSS漏洞

使用WindowsLiveChat支持Wordpress的站点管理员将插件更新到最新版本,以关闭可能在未经身份验证的情况下滥用的持久性跨站点脚本(XSS)漏洞。

该插件安装在超过60,000个网站上,并作为一个功能齐全的聊天解决方案的免费替代广告,用于客户参与和转换。

自动攻击的风险,8.0.27之前的插件版本容易受到存储/持久XSS的攻击,这些XSS可以在受影响的网站上没有帐户的攻击者远程利用。

无需在目标网站上进行身份验证,黑客就可以自动化攻击,以覆盖更多的受害者。除此之外,插件的普及和低开发工作量,你有一个灾难的秘诀。

XSS漏洞本身就很严重。它允许黑客在网站或网络应用中注入恶意代码,并危及访问者的帐户或将其暴露给修改后的页面内容。

当恶意代码添加到存储在服务器上的部分(例如用户注释)时,XSS可以是持久的。当用户加载受污染的页面时,浏览器会解析恶意代码,完成攻击者的指令。

由于不受保护的'admin_inithook'(Wordpress插件的常见攻击媒介),可能会利用此漏洞。

函数'wplc_head_basic'不使用运行适当的权限检查来更新插件设置,然后该函数运行一个更为关键的动作钩子,Sucuri的JohnCastro。

由于'admin_init'钩子可以被称为访问/wp-admin/admin-post.php或/wp-admin/admin-ajax.php,未经身份验证的攻击者可以使用这些端点随意更新选项'wplc_custom_js'

该选项的内容存在于加载实时聊天支持的每个页面上,因此针对易受攻击的网站的黑客可以在多个页面上注入JavaScript代码。

发表评论

后发表评论