Плагин WP Live Chat Support для WordPress позволяет украсть логи чатов

Плагин WP Live Chat Support для WordPress позволяет украсть логи чатов

Администраторам сайтов на WordPress, использующих плагин WP Live Chat Support, следует немедленно обновить его до версии 8.0.33, так как в плагине присутствует критическая уязвимость, позволяющая обойти процесс аутентификации. Злоумышленники могут использовать этот баг, не имея корректных учетных данных.

На сегодняшний день проблемный плагин установили около 50 тыс. сайтов. Задача WP Live Chat Support — предоставлять бесплатный чат, позволяющий общаться с посетителями, обеспечивая техническую поддержку.

Исследователи команды Alert Logic обнаружили, что 8.0.32 и более ранние версии плагина позволяют пользователям, не прошедшим процесс аутентификации, получить доступ к конечным точкам REST API. Все благодаря критической бреши, которая отслеживается под идентификатором CVE-2019-12498.

В результате успешной эксплуатации этого бага атакующий может извлечь логи чатов, а также модифицировать сессии. Другими словами, злоумышленник сможет получить не только переписки с клиентами, но и изменить каждое текстовое сообщение в чате.

Для тех администраторов, которые не могут обновить версию плагина, эксперты Alert Logic описали способ, позволяющий временно защитить ваши сайты от атак с использованием этой уязвимости.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Все об уязвимостях платежных систем на OFFZONE 2022

25–26 августа в Москве состоится третья международная конференция по практической кибербезопасности OFFZONE 2022. Мероприятие пройдет в LOFT HALL #2 и #3 и соберет на своей площадке участников профессионального комьюнити и всех неравнодушных.

На протяжении двух дней параллельно с основной программой на конференции будут работать профильные зоны. Finance.Zone предназначена для тех, кому интересна безопасность банковских и платежных систем. В этом году секция пройдет при партнерстве Payment Village.

В докладной части финансовой зоны специалисты по безопасности расскажут про уязвимости банковских приложений, POS-терминалов и банкоматов, а также про безопасность криптовалюты и смарт-контрактов.

Участники конкурсных активностей самостоятельно протестируют систему защиты банкомата, онлайн-банка и платежных карт. Для конкурса с банкоматом и онлайн-банком потребуется ноутбук с доступом в интернет. Самых способных ждут призы.

OFFZONE проходит в Москве с 2018 года. Она объединяет безопасников, разработчиков, инженеров, исследователей, преподавателей и студентов из десятков стран мира. В центре внимания — только технический контент, посвященный актуальным темам отрасли. Предыдущую конференцию посетили 1600 человек, а своим опытом с участниками поделились более 60 российских и зарубежных экспертов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru