服务器之家:专注于服务器技术及软件下载分享
分类导航

服务器资讯|IT/互联网|云计算|区块链|软件资讯|操作系统|手机数码|百科知识|免费资源|头条新闻|

服务器之家 - 新闻资讯 - IT/互联网 - 黑客利用WordPress聊天插件漏洞注入文本、窃取日志

黑客利用WordPress聊天插件漏洞注入文本、窃取日志

2019-06-12 13:06安全狗服务器之家 IT/互联网

WordPress的聊天插件WP Live Chat Support中出现了严重的身份验证绕过漏洞( CVE-2019-12498),可被不具备有效凭证的黑客利用,访问原本被限制的RESTAPI端口。具体来说,暴露的REST API端点可能允许潜在的攻击者提取网站中所有聊天会话的完整

黑客利用WordPress聊天插件漏洞注入文本、窃取日志

WordPress的聊天插件WP Live Chat Support中出现了严重的身份验证绕过漏洞( CVE-2019-12498),可被不具备有效凭证的黑客利用,访问原本被限制的RESTAPI端口。具体来说,暴露的REST API端点可能允许潜在的攻击者提取网站中所有聊天会话的完整记录,将文本注入正在进行的聊天会话,编辑注入的消息,并“随意结束正在进行的会话”,发起DoS攻击。据报道,安装了这款插件的网站数量累计超过5万个。目前,8.0.32及以前版本的插件均会受到这个漏洞影响。不过,研究人员暂时没有观察到攻击实例,且漏洞在5月29日首次披露后的三天内已经得到修复。

延伸 · 阅读

精彩推荐