Плагин WP Live Chat Support для WordPress позволяет украсть логи чатов

Плагин WP Live Chat Support для WordPress позволяет украсть логи чатов

Администраторам сайтов на WordPress, использующих плагин WP Live Chat Support, следует немедленно обновить его до версии 8.0.33, так как в плагине присутствует критическая уязвимость, позволяющая обойти процесс аутентификации. Злоумышленники могут использовать этот баг, не имея корректных учетных данных.

На сегодняшний день проблемный плагин установили около 50 тыс. сайтов. Задача WP Live Chat Support — предоставлять бесплатный чат, позволяющий общаться с посетителями, обеспечивая техническую поддержку.

Исследователи команды Alert Logic обнаружили, что 8.0.32 и более ранние версии плагина позволяют пользователям, не прошедшим процесс аутентификации, получить доступ к конечным точкам REST API. Все благодаря критической бреши, которая отслеживается под идентификатором CVE-2019-12498.

В результате успешной эксплуатации этого бага атакующий может извлечь логи чатов, а также модифицировать сессии. Другими словами, злоумышленник сможет получить не только переписки с клиентами, но и изменить каждое текстовое сообщение в чате.

Для тех администраторов, которые не могут обновить версию плагина, эксперты Alert Logic описали способ, позволяющий временно защитить ваши сайты от атак с использованием этой уязвимости.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Эксперты Kaspersky выявили 37 уязвимостей в популярных VNC-системах

Исследование различных реализаций системы удалённого доступа Virtual Network Computing (VNC) выявило 37 уязвимостей повреждения памяти. Обнаружившие проблемы безопасности специалисты Kaspersky ICS CERT утверждают, что злоумышленники с помощью брешей могут удалённо выполнить код.

VNC обычно используют для организации удалённого доступа одному устройству к экрану другого. Одним из безоговорочных преимуществ являются кроссплатформенные реализации. По данным специализированного поисковика Shodan, в интернете на сегодняшний день открыты более 600 тыс. VNC-серверов.

В Kaspersky ICS CERT также обращают внимание на широкое применение таких устройств на объектах промышленной автоматизации.

Исследователи проанализировали самые распространённые VNC: LibVNC, UltraVNC, TightVNC и TurboVNC. В общей сложности команда Kaspersky ICS CERT нашла 37 уязвимостей как в клиентских, так и в серверных компонентах.

Некоторые обнаруженные бреши позволяют атакующим удалённо выполнить код. Другими словами, злоумышленники вполне могут получить контроль над атакуемой системой.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru