Mới đây các chuyên gia nghiên cứu bảo mật đã cảnh báo về một lỗ hổng nghiêm trọng mà họ đã phát hiện trong plugin WP Live Chat Support, lỗ hổng này cho phép kẻ tấn công đánh cắp nhật ký trò chuyện hoặc thao túng các phiên trò chuyện.
Lỗ hổng, được xác định với mã CVE-2019-12498, nằm trong plugins WP Live Chat Support hiện đang được hơn 50.000 doanh nghiệp sử dụng để cung cấp hỗ trợ khách hàng và trò chuyện với khách truy cập thông qua trang web của họ.
Được phát hiện bởi các nhà nghiên cứu an ninh mạng tại Alert Logic, lỗ hổng bắt nguồn do việc kiểm tra xác thực không đúng dẫn đến lỗ hổng có thể cho phép người dùng không được xác thực truy cập vào API REST.
Theo mô tả của các nhà nghiên cứu, kẻ tấn công có thể khai thác lỗ hổng cho các mục đích xấu, bao gồm:
- Đánh cắp toàn bộ lịch sử trò chuyện cho tất cả các phiên trò chuyện, sửa đổi hoặc xóa lịch sử trò chuyện.
- Thao túng và kiểm soát các phiên trò chuyện đang hoạt động, giả mạo là đại lý hỗ trợ khách hàng.
- Sử dụng để tấn công từ chối dịch vụ (DoS).
Vấn đề này ảnh hưởng đến tất cả các trang web WordPress và cả khách hàng của họ, những người vẫn đang sử dụng WP Live Chat Support phiên bản 8.0.32 trở về trước.
Mặc dù các nhà nghiên cứu chưa nhận thấy bất kỳ hoạt động khai thác lỗ hổng nào, tuy nhiên các quản trị viên WordPress được khuyến khích update phiên bản mới nhất của plugin này càng sớm càng tốt.
