首页 WordPress插件正文

WordPress Live Chat插件中的存在漏洞易被黑客注入脚本

网络安全公司Sucuri近期发现了WordPress Live Chat插件中一个未经身份验证的持久性跨站点脚本(XSS)。

 微信截图_20190612100329.png

该插件被安装在超过60,000个网站上,该插件是一款免费的功能相对较为齐全的WordPress商务沟通插件。

自动攻击的风险

Sucuri的研究人员发现,8.0.27之前的插件版本容易受到XSS的攻击,这些XSS可以在受影响的网站上被没有帐户的攻击者远程利用。

黑客无需在目标网站上进行身份验证,就可以自动进行攻击,覆盖更多的受害者。再加上这个插件的流行程度和低开发工作量,你就可以想象其危害性有多大了。

XSS缺陷本身是相当严重的。它允许黑客在网站或网络应用程序中注入恶意代码,侵入访问者的账户,其修改过的页面内容也会暴露在黑客面前。

 微信截图_20190612100344.png

当恶意代码被添加到存储在服务器上的数据(例如用户评论)时,XSS可以是持久性的。用户加载受污染的页面时,浏览器将完成攻击者的指令解析恶意代码。

来自Sucuri的详细信息解释说,黑客可能是利用了“admin_init hook”(Wordpress插件的一个常见攻击向量)这一漏洞。

Sucuri的安全人员表示,“wplc_head_basic”函数并没有设置好适当的权限以此来检查插件的更新。

 微信截图_20190612100409.png

然后该函数运行一个更为关键的命令,Sucuri的安全人员的找到了以下相关代码:

 微信截图_20190612100420.png

因为可以通过访问/wp-admin/admin-post.php或/wp-admin/admin-ajax调用'admin_init'。未经身份验证的攻击者可以使用这些接口任意更新选项'wplc_custom_js'。

该选项的内容存在于加载实时聊天支持的每个页面上,因此针对易受攻击的网站的黑客可以在多个页面上注入JavaScript代码。

 微信截图_20190612100431.png

Sucuri于4月30日通知了该插件的开发者,并在5月1日发布了修补版本。为了防止此漏洞,建议WP Live Chat的用户尽快将其插件更新到8.0.27版。

以上就是今天给大家介绍的WordPress Live Chat插件中的存在漏洞易被黑客注入脚本,如果你还想了解更多关于WordPress的知识技巧,可以持续关注我们http://www.touchwordpress.com

评论