Los expertos en seguridad han estado advirtiendo sobre una vulnerabilidad crítica que descubrieron en uno de los plugins más populares de WordPress, el llamado WP Live Chat Support, que, de ser explotados, podrían permitir que atacantes remotos no autorizados roben los registros de chat o manipulen las sesiones.

La vulnerabilidad, identificada como CVE-2019-12498, reside en el «WP Live Chat Support» que actualmente utilizan más de 50.000 empresas para brindar soporte al cliente y chatear con los visitantes a través de sus sitios web. Descubierta por los investigadores de seguridad cibernética en Alert Logic , el fallo se origina debido a una verificación de validación incorrecta para la autenticación que aparentemente podría permitir a los usuarios no autenticados acceder a los puntos finales de la API REST restringida.

 

fallo-plugin-chat-wordpress

 

Según lo descrito por los investigadores, un potencial atacante remoto puede explotar puntos finales expuestos con fines maliciosos, que incluyen:

  • Robo de todo el historial de chat de todas las sesiones,
  • Modificar o borrar el historial de chat,
  • Inyectar mensajes en una sesión de chat activa, haciéndose pasar por un agente de atención al cliente,
  • Finalizar a la fuerza las sesiones de chat activas, como parte de un ataque de denegación de servicio (DoS).

El problema afecta a todos los sitios web de WordPress, y también a sus clientes, que aún utilizan la versión 8.0.32 o anterior de WP Live Chat Support para ofrecer asistencia en vivo.

Los investigadores informaron sobre el problema a los usuarios de este plugin de WordPress afectado, que luego lanzaron de forma proactiva e inmediatamente una versión actualizada y parchada de su complemento la semana pasada.

Aunque los investigadores aún no han visto ninguna explotación activa del fallo, se recomienda a los administradores de WordPress que instalen la última versión del complemento tan pronto como sea posible.

Europol cierra más de 30.500 sitios web de piratería

Europol cierra más de 30.500 sitios web de piratería

En una operación coordinada de aplicación de la ley a nivel mundial, Europol ha eliminado más de 30.500 sitios web para distribuir artículos falsificados y pirateados a través de Internet y arrestado a tres sospechosos. Entre otras cosas, los dominios incautados...

Crear formularios online en 5 minutos y sin ningún coste

Crear formularios online en 5 minutos y sin ningún coste

 oImagino que no soy el único que ha probado multitud de plugins para crear formularios online y ha terminado utilizando el básico Contact Form. El problema del Contact Form no solo radica en sus reducidas opciones, si no en que su adaptabilidad es pésima. Y a día de...

¿Qué es el principio de Pareto? cómo aplicarlo en mi web

¿Qué es el principio de Pareto? cómo aplicarlo en mi web

Lo más probable es que hayas oído hablar del Principio de Pareto. ¿Pero lo entiendes ? Tiene varios nombres: "la regla 80-20", "la ley de los pocos vitales" y "el principio de la escasez de factores". Tiene implicaciones de largo alcance. Y su idea es simple, pero...