Bug no Plugin WordPress Live Chat permite que hackers injetem scripts

A empresa Sucuri descobriu que o Plugin WordPress Live Chat permite que hackers injetem scripts. Saiba mais detalhes do problema e entenda.

A empresa Sucuri descobriu que o WordPress Live Chat permite que hackers injetem scripts. Saiba mais detalhes do problema e entenda.

Uma falha XSS é bastante séria por si só. Ele permite que hackers injetem códigos maliciosos em sites ou aplicativos da Web e comprometam as contas dos visitantes ou os exponham a conteúdo de página modificado.

Bug no Plugin WordPress Live Chat permite que hackers injetem scripts
Bug no Plugin WordPress Live Chat permite que hackers injetem scripts

O XSS pode ser persistente quando o código mal-intencionado é adicionado a uma seção armazenada no servidor, como comentários do usuário. Quando um usuário carrega a página corrompida, o código mal-intencionado é analisado pelo que está concluindo as instruções do invasor.

Bug no Plugin WordPress Live Chat permite que hackers injetem scripts

Os administradores do site que usam o WP Live Chat Support para o WordPress são aconselhados a atualizar o plug-in para a versão mais recente para fechar uma vulnerabilidade persistente de script entre sites (XSS) que pode ser abusada sem autenticação.

O plug-in está instalado em mais de 60.000 sites e é anunciado como uma alternativa gratuita a uma solução de bate-papo totalmente funcional para engajamento e conversão de clientes.

Pesquisadores da Sucuri descobriram que versões do plugin anterior a 8.0.27 são vulneráveis ​​a XSS armazenados/persistentes, que podem ser explorados remotamente por um invasor que não tem uma conta no site afetado.

Sem ter que se autenticar no site de destino, os hackers podem automatizar seus ataques para cobrir um número maior de vítimas. Adicione a isso a popularidade do plugin e o baixo esforço de exploração e você terá uma receita para o desastre.

Os detalhes da Sucuri explicam que a exploração da vulnerabilidade é possível devido a um ‘gancho admin_init’ desprotegido – um vetor de ataque comum para plugins do WordPress.

Os pesquisadores dizem que a função ‘wplc_head_basic’ não usa verificações de privilégio adequadas para atualizar as configurações do plugin.

A função executa um gancho de ação que é mais crítico, mostra John Castro da Sucuri, que também disse o seguinte:

“Como hooks ‘admin_init’ podem ser chamados de /wp-admin/admin-post.php ou /wp-admin/admin-ajax.php, um invasor não autenticado pode usar esses endpoints para atualizar arbitrariamente a opção ‘wplc_custom_js’.”

O conteúdo da opção está presente em todas as páginas que carregam o suporte ao bate-papo ao vivo. Portanto, os hackers que segmentam um site vulnerável podem injetar código JavaScript em várias páginas.

A Sucuri notificou os desenvolvedores do plugin em 30 de abril, e uma versão corrigida foi lançada na quarta-feira.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Ajude a manter o Blog do Edivaldo - Faça uma doação

Se você gosta do conteúdo do Blog, você pode ajudar a manter o site simplesmente fazendo uma doação única, esporádica ou mensal, usando uma das opções abaixo:

Doação usando Paypal

Doação usando PagSeguro
Outras formas de ajudar a manter o Blog do Edivaldo