WordPress Live Chat, 1 nouvelle faille dans le plugin

Des chercheurs en sécurité ont sonné l’alerte concernant une vulnérabilité critique qu’ils ont découvert dans le plugin WordPress Live Chat. Cette faille de sécurité permet à un hacker de subtiliser les logs des conversations et de manipuler les sessions à distance.

La vulnérabilité, CVE-2019-12498, réside dans l’extension “Wordpress Live Chat Support” qui est utilisé par plus de 50 000 personnes pour fournir un service client via chat aux visiteurs de leurs sites.

Détails sur la faille de WordPress Live Chat

Découverte par les chercheurs en sécurité de Alert Logic, la cause de la faille est une mauvaise vérification lors de l’authentification qui permet aux utilisateurs non-authentifiés d’accéder aux points de terminaison des API REST.

wordpress live chat hacking

Comme décrit par les chercheurs, un individu malveillant peut exploiter à distance les points de terminaison exposés et exécuter un nombre important d’actions malveillantes, y compris:

  • voler les historiques de conversation des sessions de chat
  • modifier ou supprimer les historiques de conversation,
  • injecter des messages dans une session active de chat, se faisant passer pour un employé du service client,
  • forcer l’arrêt des sessions actives

Ce problème affecte tout les sites WordPress, ainsi que leurs clients, qui utilisent la version 8.0.32 de WordPress Live Chat Support ou les versions précédentes.

Les chercheurs ont signalé le problème aux développeurs du plugin qui ont réagi rapidement et publié une version patchée du plugin la semaine dernière.

Les chercheurs n’ont détecté aucune campagne d’exploitation active de la faille. Les administrateurs de WordPress recommandent d’installer la dernière version du plugin le plus tôt possible pour éviter de se faire pirater.

Si cet article vous a plu, jetez un œil au précédent article sur une faille de WordPress que nous avons publié.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x