WordPress聊天插件Bug让黑客注入文本，窃取日志

我们建议安装了WP Live Chat支持Wordpress插件的网站的管理员应立即将插件更新到8.0.33或更高版本，以修补关键身份验证绕过，攻击者可以利用该绕过而无需有效凭据。

此Wordpress插件目前拥有超过50,000个网站的安装基础，旨在提供免费的实时聊天，以便与网站访问者取得联系以提供实时支持。

正如Alert Logic的网络安全研究人员所发现的，WordPress的WP Live Chat插件版本8.0.32及更早版本允许未经身份验证的用户访问受限制的REST API端点，因为CVE-2019-12498会将关键身份验证绕过漏洞跟踪  。

 易受攻击的REST API端点

由于'wplc_api_permission_check（）'函数存在缺陷，未修补的WP Live Chat支持安装的REST API端点“容易被未经身份验证的远程攻击者滥用”，这使攻击者能够泄露“聊天记录和操纵聊天会话的能力”。 “ 

“以上系列的'register_rest_route（）'调用定义了那些应该具有访问限制的REST API端点，因为它们所暴露的功能的性质，”Alert Logic研究团队说。

“每个受限制的端点共享相同的'permission_callback'函数，即'wplc_api_permission_check（）'函数，该函数将很快被探索。”

潜在的攻击风险

暴露的REST API端点可能允许潜在的攻击者提取网站上记录的所有聊天会话的完整聊天记录，将文本注入正在进行的聊天会话，编辑注入的消息，以及“任意”启动拒绝服务（DoS）攻击结束有效的聊天会话。“

Alert Logic的研究人员还为他们在WP Live的WP Live Chat支持中发现的关键身份验证绕过漏洞提供了缓解，旨在帮助那些无法立即以“使用WAF进行虚拟补丁来过滤发往WP的流量”的形式立即更新插件的管理员实时聊天支持REST端点。“

到目前为止，Alert Logic研究人员没有观察到攻击者试图利用此身份验证绕过问题。该插件的开发人员在5月29日首次披露后的三天内修补了该漏洞。

有缺陷的wplc_api_permission_check函数

在8.0.26版本及之前版本XSS缺陷被积极利用

在一年前，Sucuri的研究人员在WP Live插件支持Wordpress插件  版本8.0.26和早些时候发现了一个持久的跨站点脚本（XSS）漏洞，该漏洞可以在没有身份验证的情况下被滥用  。

该漏洞使黑客能够自动化攻击以覆盖大量目标，而无需进行身份验证。它还可以在Web应用程序和站点中注入恶意代码，并破坏访问者的帐户或将其暴露给已修改的页面内容。

由于开发工作量低，潜在受害者众多，恶意演员浪费的时间很少，因为两周后ZScaler的ThreatLabZ的研究人员观察到正在积极利用它并将恶意JavaScript内容注入受感染者的攻击者。触发“恶意重定向，推送不需要的弹出窗口和虚假订阅”的网站。

原文始发于微信公众号（红数位）：WordPress聊天插件Bug让黑客注入文本，窃取日志