在WP Live Chat支持中发现身份验证旁路缺陷
流行WordPress“Live Chat”插件中的一个关键漏洞为未经授权的远程攻击者创建了一种窃取聊天日志或操纵聊天会话的方法。
这身份验证绕过漏洞- 通过警报逻辑的安全研究人员发现 - 影响依赖WP Live Chat支持版本8.0.32或更早版本的WordPress安装。
安全性错误(CVE-2019-12498)为潜在攻击者创建一种方法,以便在没有有效凭据的情况下获得REST API功能的访问权限 - 可能允许误解欺凌日志以及操纵聊天会话的能力。
随着拒绝服务攻击的一部分,任意结束的活动聊天会话也是可能的。
警报逻辑审议漏洞不会积极利用。即便如此,恶作剧的范围仍然存在。
幸运的是,警报逻辑与开发人员合作,允许创建补丁,发布的发布使安全研究人员能够与他们的研究结果一起公开。
该漏洞最好通过修补来解决,但可能使用Web应用程序防火墙进行减轻。beplay体育能用吗
WP Live Chat支持已下载150万次,由50,000多个企业使用。
WordPress内容管理系统的缺陷及其各种插件是军团,有时会有一些技术摇摆描述作为“具有博客扩展的远程shell软件”。
javvad Malik,安全意识倡导者在vendor知识4中评论说:“WordPress经常有针对性,泄露漏洞。网站管理员在决定哪个插件时要谨慎行事,并确保它们保持最新。”beplay体育能用吗
每日SWbeplay2018官网IG.已要求插件的开发人员对错误查找发表评论。
