首頁 > 安全研究 > 安全通報 > 安全通告

WordPress WP Live Chat Support身份驗證繞過漏洞安全通告

發布時間 2019-06-12

漏洞編號和級別


CVE編號:CVE-2019-12498,危險級別:高危,CVSS分值:官方未評定


影響版本


受影響的版本


適用于WordPress WP Live Chat插件 < 8.0.32。


漏洞概述


WordPress是WordPress軟件基金會的一套使用PHP語言開發的博客平臺,該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WP Live Chat Support是使用在其中的一個即時聊天插件。


WordPress WP Live Chat Support插件8.0.32及以前版本中出現了嚴重的身份驗證繞過漏洞,可被不具備有效憑證的黑客利用,訪問原本被限制的RESTAPI端口。具體來說,暴露的REST API端點可能允許潛在的攻擊者提取網站中所有聊天會話的完整記錄,將文本注入正在進行的聊天會話,編輯注入的消息,并“隨意結束正在進行的會話”,發起DoS攻擊。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布新版本以修復漏洞,將插件更新到最新版本https://wordpress.org/plugins/wp-live-chat-support/。


參考鏈接


 https://blog.alertlogic.com/alert-logic-researchers-find-another-critical-vulnerability-in-wordpress-wp-live-chat-cve-2019-12498/ 

上一篇 下一篇