Falla en pluggin de Wordpress permitiría robo o secuestro de sesión




Investigadores de seguridad han estado advirtiendo sobre una vulnerabilidad crítica que descubrieron en uno de los populares plugins de WordPress Live Chat, que de ser explotado, podrían permitir que atacantes remotos no autorizados roben los registros de chat o manipulen las sesiones de chat.

La vulnerabilidad, identificada como CVE-2019-12498, reside en el "Soporte de chat en vivo de WP" que actualmente utilizan más de 50,000 empresas para brindar soporte al cliente y chatear con los visitantes a través de sus sitios web.

Descubierta por los investigadores de seguridad cibernética en Alert Logic, la falla se origina debido a una verificación de validación incorrecta para la autenticación que aparentemente podría permitir a los usuarios no autenticados acceder a los puntos finales de la API REST restringida.

Según lo descrito por los investigadores, un potencial atacante remoto puede explotar puntos finales expuestos con fines maliciosos, que incluyen:

  • Robo de todo el historial de chat para todas las sesiones de chat,
  • Modificación o borrando el historial de chat,
  • inyectar mensajes en una sesión de chat activa, haciéndose pasar por un agente de atención al cliente,
  • Finalizar a la fuerza las sesiones de chat activas, como parte de un ataque de denegación de servicio (DoS).

El problema afecta a todos los sitios web de WordPress, y también a sus clientes, que aún utilizan la versión 8.0.32 o anterior de WP Live Chat Support para ofrecer asistencia en vivo.

Los investigadores informaron responsablemente sobre el problema a los mantenedores de este complemento de WordPress afectado, que luego lanzaron de forma proactiva e inmediatamente una versión actualizada y parchada de su complemento la semana pasada.

Aunque los investigadores aún no han visto ninguna explotación activa de la falla en la naturaleza, se recomienda a los administradores de WordPress que instalen la última versión del complemento tan pronto como sea posible.