WP Live Chat Support plaginində ciddi boşluq aşkar edilib

TEXNOLOGİYA


12.06.2019 0 PAYLAŞIM 456 OXUNMA




    50.000-dən çox yüklənmə sayına sahib WP Live Chat Support plagininin tərtibatçıları bildiriblər ki, istifadəçilər vaxt itirmədən plagini 8.0.33-ə və ya ondan daha yuxarı versiyaya kimi yeniləməlidirlər. Məsələ burasındadır ki, sözügedən plagində kritik boşluq aşkar edilib. Əsl hesab məlumatlarına sahib olmayan hacker həmin boşluq sayəsində autentifikasiya mexanizmini yan keçə bilər. Bu barədə Хакер.ru saytı xəbər verib.

    WP Live Chat Support plagini vasitəsilə saytlara pulsuz çat funksiyasını əlavə etmək mümkündür. Həmin çat vasitəsilə isə saytların əməkdaşları müştərilərə xidmət dəstəyini və köməyi təqdim edirlər. Alert Logic şirkətinin mütəxəssisləri aşkar ediblər ki, plaginin 8.0.32 və daha aşağı versiyaları autentifikasiya prosesini keçməmiş hackerə REST API endpointlərini əldə etməyə imkan verirlər. Sözügedən boşluq CVE-2019-12498 identifikatorunu əldə edib.


    Plagində olan bu bug sayəsində hacker yekunlaşdırılmış çatların loqlarını əldə etməkdən əlavə həmçinin aktiv çatlara da qarışa bilər. Mütəxəssislər bildiriblər ki, sözügedən bug vasitəsilə kiberhücumu reallaşdıran şəxs aktiv çatlara öz mesajlarını əlavə edə, çatdakı digər mesajları redaktə edə və çatların tez zamanda sona çatması üçün DoS hücumlar edə bilər. Alert Logic şirkətinin məlumatına əsasən plaginin yenilənmiş versiyasını hansısa səbəbə görə quraşdıra bilməyən administratorlar WAF filtrləri ayarlayaraq bu problemi müəyyən müddətlik həll edə bilərlər.