Bizimle iletişime geç
Güncel Sohbet Bloğu

Güncel Sohbet Bloğu

WordPress canlı sohbet eklentisinde kritik hata keşfedildi

Wordpress canlı sohbet eklentisinde kritik hata keşfedildi

Yazı

WordPress canlı sohbet eklentisinde kritik hata keşfedildi

WordPress’te ziyaretçiler ile site yönetimi arasında canlı sohbet gerçekleştirilerek destek alınmasına olanak tanıyan live chat eklentisinde ki güvenlik açığı bilgisayar korsanlarının metin enjekte etmesine ve görüşme kayıtlarının çalınmasına olanak tanıyor.

Güvenlik araştırmacıları, 50 binin üzerinde kullanıcısı bulunan canlı sohbet desteği sunan WordPress Live Chat destek eklentisinde ki açık ile saldırganlar herhangi bir kimlik belgesine gerek duyulmaksızın müdahele edebilecekleri kusuru keşfettiler.

Bir dizi güvenlik açığını araştıran Alert Logic, eklentinin 8.0.32 sürümünde ki güvenlik açığından yararlanarak içeri sızmayı sağlayan kimlik doğrulamasına yönelik kritik hatayı tespit etti. Bu yeni güvenlik açığı ile herhangi bir kimlik (kullanıcı) doğrulamasına gerek kalmaksızın CVE-2019-12498 hatasına bağlı olarak sınırlı da olsa bir erişim izni veriyor.

wordpress live chat eklenti açığı

Alert Logic, REST API ile ilgili bu açık için “kimliği doğrulanmamış saldırganların ‘wplc_api_permission_check()’ kodunda ki kusur nedeniyle erişebildikleri ” bilgisini verdi.

REST API uç noktalarında ki hatanın sonucu olarak, potansiyel saldırganlar bu eklentiyi kullanan bir web sitesinde açılmış tüm sohbet kayıtlarına yönelik günlüklere erişip devam eden sohbet görüşmelerine metin ekleyebildiği gibi, yine bu enjekte edilen bu mesajlarda değişikliğe gidebiliyorlar. Ayrıca sadece bununla sınırla da değil, DoS saldırıları yapabildikleri gibi söz konusu sohbet görüşmelerini de sonlandırabiliyorlar.

Problemi çözmek için ise eklentinin 8.0.32 sürümünün üst bir sürümüne geçilmesi gerekiyor. Firmaya göre henüz hiç kimse bu açıktan yararlanmaya çalışmadı ve eklenti geliştiricisi de açığın bildirilmesini takiben 3 gün içerisinde yeni bir sürüm ile bu güvenlik açığını ortadan kaldırdı. Eğer sizde Wp-Live-Chat eklentisini kullanıyorsanız vakit kaybetmeden 8.0.33 sürümüne gecikmeden geçiş yapmalısınız.

Yorum yapmak için tıkla

Bir cevap bırakın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Daha fazla Yazı

Yukarı