Do not speak Portuguese? Translate this site with Google or Bing Translator

Bug no Plugin WordPress Live Chat permite que hackers injetem scripts

A empresa Sucuri descobriu que o Plugin WordPress Live Chat permite que hackers injetem scripts. Saiba mais detalhes do problema e entenda.

Uma falha XSS é bastante séria por si só. Ele permite que hackers injetem códigos maliciosos em sites ou aplicativos da Web e comprometam as contas dos visitantes ou os exponham a conteúdo de página modificado.

Bug no Plugin WordPress Live Chat permite que hackers injetem scripts
Bug no Plugin WordPress Live Chat permite que hackers injetem scripts

O XSS pode ser persistente quando o código mal-intencionado é adicionado a uma seção armazenada no servidor, como comentários do usuário. Quando um usuário carrega a página corrompida, o código mal-intencionado é analisado pelo navegador que está concluindo as instruções do invasor.

Bug no Plugin WordPress Live Chat permite que hackers injetem scripts

Os administradores do site que usam o WP Live Chat Support para o WordPress são aconselhados a atualizar o plug-in para a versão mais recente para fechar uma vulnerabilidade persistente de script entre sites (XSS) que pode ser abusada sem autenticação.

O plug-in está instalado em mais de 60.000 sites e é anunciado como uma alternativa gratuita a uma solução de bate-papo totalmente funcional para engajamento e conversão de clientes.

Pesquisadores da Sucuri descobriram que versões do plugin anterior a 8.0.27 são vulneráveis ​​a XSS armazenados/persistentes, que podem ser explorados remotamente por um invasor que não tem uma conta no site afetado.

Sem ter que se autenticar no site de destino, os hackers podem automatizar seus ataques para cobrir um número maior de vítimas. Adicione a isso a popularidade do plugin e o baixo esforço de exploração e você terá uma receita para o desastre.

Os detalhes da Sucuri explicam que a exploração da vulnerabilidade é possível devido a um ‘gancho admin_init’ desprotegido – um vetor de ataque comum para plugins do WordPress.

Os pesquisadores dizem que a função ‘wplc_head_basic’ não usa verificações de privilégio adequadas para atualizar as configurações do plugin.

A função executa um gancho de ação que é mais crítico, mostra John Castro da Sucuri, que também disse o seguinte:

“Como hooks ‘admin_init’ podem ser chamados de /wp-admin/admin-post.php ou /wp-admin/admin-ajax.php, um invasor não autenticado pode usar esses endpoints para atualizar arbitrariamente a opção ‘wplc_custom_js’.”

O conteúdo da opção está presente em todas as páginas que carregam o suporte ao bate-papo ao vivo. Portanto, os hackers que segmentam um site vulnerável podem injetar código JavaScript em várias páginas.

A Sucuri notificou os desenvolvedores do plugin em 30 de abril, e uma versão corrigida foi lançada na quarta-feira.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.