Le plugin WordPress Live Chat était concerné par une faille

0

Des chercheurs en sécurité ont sonné l’alerte concernant une vulnérabilité critique qu’ils ont découvert dans le plugin WordPress Live Chat. Cette faille de sécurité permet à un hacker de subtiliser les logs des conversations et de manipuler les sessions à distance.

La vulnérabilité, CVE-2019-12498, réside dans l’extension « WordPress Live Chat Support » qui est utilisé par plus de 50 000 personnes pour fournir un service client via chat aux visiteurs de leurs sites web.

Les plugins (ou extensions) des sites WordPress sont l’un des vecteurs d’attaque préférés des pirates informatiques.

Détails sur la faille de sécurité de WordPress Live Chat

Découverte par les chercheurs en sécurité de Alert Logic, la cause de la faille est une mauvaise vérification lors de l’authentification qui permet aux utilisateurs non-authentifiés d’accéder aux points de terminaison des API REST.

wordpress live chat hacking

Comme décrit par les chercheurs en sécurité informatique, un individu malveillant peut exploiter à distance les points de terminaison exposés et exécuter un nombre important d’actions malveillantes, y compris:

  • voler les historiques de conversation des sessions de chat
  • modifier ou supprimer les historiques de conversation,
  • injecter des messages dans une session active de chat, se faisant passer pour un employé du service client,
  • forcer l’arrêt des sessions actives

Ce problème de sécurité affecte tout les sites WordPress, ainsi que leurs clients, qui utilisent la version 8.0.32 de WordPress Live Chat Support ou les versions précédentes.

Les chercheurs ont signalé le problème aux développeurs du plugin qui ont réagi rapidement et publié une version patchée du plugin la semaine dernière.

Les chercheurs n’ont détecté aucune campagne d’exploitation active de la faille. Il est recommandé aux administrateurs de sites WordPress d’installer la dernière version du plugin le plus tôt possible pour éviter de se faire pirater par des individus mal intentionnés.

Si cet article vous a plu, jetez un œil au précédent article sur une faille de WordPress que nous avons publié.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.