wordpress live chat

Nouvelle faille dans le plugin WordPress Live Chat

Des chercheurs en sécurité ont sonné l’alerte concernant une vulnérabilité critique qu’ils ont découvert dans le plugin WordPress Live Chat. Cette faille de sécurité permet à un hacker de subtiliser les logs des conversations et de manipuler les sessions à distance.

La vulnérabilité, CVE-2019-12498, réside dans le “Wordpress Live Chat Support” et est utilisé par plus de 50 000 personnes pour fournir un service client via chat aux visiteurs de leurs sites.

Découvert par les chercheurs en sécurité de Alert Logic, la cause de la faille est une mauvaise vérification lors de l’authentification qui permet aux utilisateurs non-authentifié d’accéder aux points finaux des REST API.

wordpress live chat hacking

Comme décrit par les chercheurs, un hacker distant peut exploiter les points finaux exposés pour des raisons malveillantes, y compris:

  • voler les historiques de conversation des sessions de chat
  • modifier ou supprimer les historiques de conversation,
  • injecter des messages dans une session active de chat, se faisant passer pour un employé du service client,
  • forcer l’arrêt des sessions actives

Ce problème affecte tout les sites WordPresss, ainsi que leurs clients, qui utilise la version 8.0.32 de WordPress Live Chat Support ou les versions précédentes.

Les chercheurs ont signalé le problème aux développeurs du plugin, ils ont publié une version patchée du plugin la semaine dernière.

Les chercheurs n’ont détecté aucune campagne d’exploitation active de la faille. Les administrateurs de WordPress recommandent d’installer la dernière version du plugin le plus tôt possible.

Laisser un commentaire