CVE-2019-12498 WordPress实时聊天插件存在漏洞 黑客可窃取和劫持会话

2019年6月13日00:01:35 发表评论

安全研究人员一直在警告他们在一个流行的WordPress Live Chat插件中发现的一个关键漏洞,如果被利用,该插件可能允许未经授权的远程攻击者窃取聊天记录或操纵聊天会话。

CVE-2019-12498 WordPress实时聊天插件存在漏洞 黑客可窃取和劫持会话

漏洞标识为CVE-2019-12498,位于“WP Live Chat支持”中,目前超过50,000家企业正在使用该漏洞通过其网站向访问者提供客户支持和聊天。

由Alert Logic的网络安全研究人员发现,该缺陷源于对身份验证的不正确验证检查,显然可能允许未经身份验证的用户访问受限制的REST API端点。

正如研究人员所描述的那样,潜在的远程攻击者可以利用暴露的端点进行恶意攻击,包括:

  • 窃取所有聊天会话的整个聊天记录
  • 修改或删除聊天记录
  • 将消息注入活动的聊天会话,冒充客户支持代理
  • 强制结束活动聊天会话
  • 作为拒绝服务(DoS)攻击的一部分

该问题影响所有仍在使用WP Live Chat支持版本8.0.32或更早版本提供实时支持的WordPress网站及其客户。

研究人员负责任地向这个受影响的WordPress插件的维护者报告了这个问题,然后他就在上周主动并立即发布了他们插件的更新和修补版本。
虽然研究人员还没有看到任何积极利用这个漏洞,但强烈建议WordPress管理员尽快安装最新版本的插件。

发表评论

后发表评论