Плагин WP Live Chat Support очень популярен, он насчитывает больше 50000 установок, что обеспечено его доступностью, легкостью и другими неоспоримыми преимуществами. Однако недавно появилось сообщение от разработчиков, в котором говорится, что пользователи незамедлительно должны произвести обновление плагина до версии не ниже 8.0.33. Причина объясняется также очень просто. Оказывается, плагин критически уязвим. А, значит, хакеры, у которых нет действующих записей учета, спокойно могут обойти аутентификационные механизмы.
Преимущества плагина
Благодаря WP Live Chat Support, разработчики сайтов на платформе WordPress могут добавлять бесплатные чаты. С их помощью сотрудники оказывают максимальную помощь и поддержку посетителям сайта в режиме реального времени. Это весьма удобно и очень практично.
Купив такой плагин, владелец сайта получит прекрасный виджет чата, который легко настраивается, отличается массой полезного функционала (например, неограниченным количеством агентов), великолепной скоростью и возможностью автоматических ответов. Кроме того, чат создается с многоязычным интерфейсом и возможностью записи сообщений.
С помощью плагина можно отслеживать, сколько посетителей было за определенное время, блокировать по IP и т. д.
Особенности проблемы
Недавно специалисты компании-разработчика выявили серьезную проблему, касающуюся старых версий плагина. Суть ее в том, что неаутентифицированные атакующие пользователи, при желании, получают доступ к эндпоиантам REST API. Обычно они закрыты.
Особенно уязвим идентификатор CVE-2019-12498. Если хакер решит воспользоваться багом, он сможет украсть не только логи лив-чатов, которые закончены, но и вмешаться в активные сессии. В действующих чатах хакеры способны как добавлять свои сообщения, так и редактировать имеющиеся.
Что делать?
Нужно срочно обновить плагин до версии 8.0.33 или выше. Если возможности моментального обновления пока нет, можно защитить свой сайт настройками WAF-фильтров.
Примечательно, что буквально некоторое время назад специалистами компании была обнаружена другая не менее опасная и неприятная проблема: XSS-баг. С его помощью хакеры автоматически атаковали на уязвимые сайты, а вредоносные коды вводили прямо без аутентификации.
