A empresa Sucuri descobriu que o Plugin WordPress Live Chat permite que hackers injetem scripts. Saiba mais detalhes do problema e entenda.
Uma falha XSS é bastante séria por si só. Ele permite que hackers injetem códigos maliciosos em sites ou aplicativos da Web e comprometam as contas dos visitantes ou os exponham a conteúdo de página modificado.
O XSS pode ser persistente quando o código mal-intencionado é adicionado a uma seção armazenada no servidor, como comentários do usuário. Quando um usuário carrega a página corrompida, o código mal-intencionado é analisado pelo navegador que está concluindo as instruções do invasor.
- Como instalar o poderoso utilitário de rede Nmap no Linux
- Como instalar o módulo de segurança do Banco Itaú no Linux
- Como instalar o app de backup Kopia no Linux via AppImage
- Como instalar o exchange Bisq no Linux via Flatpak
Bug no Plugin WordPress Live Chat permite que hackers injetem scripts
Os administradores do site que usam o WP Live Chat Support para o Wordpress são aconselhados a atualizar o plug-in para a versão mais recente para fechar uma vulnerabilidade persistente de script entre sites (XSS) que pode ser abusada sem autenticação.
O plug-in está instalado em mais de 60.000 sites e é anunciado como uma alternativa gratuita a uma solução de bate-papo totalmente funcional para engajamento e conversão de clientes.
Pesquisadores da Sucuri descobriram que versões do plugin anterior a 8.0.27 são vulneráveis a XSS armazenados/persistentes, que podem ser explorados remotamente por um invasor que não tem uma conta no site afetado.
Sem ter que se autenticar no site de destino, os hackers podem automatizar seus ataques para cobrir um número maior de vítimas. Adicione a isso a popularidade do plugin e o baixo esforço de exploração e você terá uma receita para o desastre.
Os detalhes da Sucuri explicam que a exploração da vulnerabilidade é possível devido a um ‘gancho admin_init’ desprotegido – um vetor de ataque comum para plugins do Wordpress.
Os pesquisadores dizem que a função ‘wplc_head_basic’ não usa verificações de privilégio adequadas para atualizar as configurações do plugin.
A função executa um gancho de ação que é mais crítico, mostra John Castro da Sucuri, que também disse o seguinte:
“Como hooks ‘admin_init’ podem ser chamados de /wp-admin/admin-post.php ou /wp-admin/admin-ajax.php, um invasor não autenticado pode usar esses endpoints para atualizar arbitrariamente a opção ‘wplc_custom_js’.”
O conteúdo da opção está presente em todas as páginas que carregam o suporte ao bate-papo ao vivo. Portanto, os hackers que segmentam um site vulnerável podem injetar código JavaScript em várias páginas.
A Sucuri notificou os desenvolvedores do plugin em 30 de abril, e uma versão corrigida foi lançada na quarta-feira.
O que está sendo falado no blog
- Bug no Plugin WordPress Live Chat permite que hackers injetem scripts
- Dados de localização do iPhone foram compartilhados acidentalmente pelo Twitter
- Intel divulgou mais informações das quatro novas vulnerabilidades MDS
- Falha no WhatsApp permite que hackers infectem iPhones e telefones Android
- IPFire 2.23 Core Update 131 lançado – Confira as novidades e baixe