XSS в плагине Live Chat Support для WordPress позволяет внедрить код

Олег Иванов 17 Мая 2019 - 14:54

Домашние пользователи

...

Уязвимость в плагине Live Chat Support для движка WordPress может быть использована злоумышленниками для внедрения вредоносных скриптов на атакуемые сайты. XSS-брешь в плагине обнаружили исследователи компании Sucuri.

Для эксплуатации этого бага киберпреступникам не обязательно проходить процесс аутентификации или иметь учетную запись на уязвимом сайте — все происходит удаленно.

Live Chat Support установили более 60 000 раз, этот плагин помогает создать на сайте чат, позволяющий клиентам задавать интересующие их вопросы. Все версии плагина до 8.0.27 оказались уязвимы.

Эксперты обращают внимание на тот факт, что киберпреступники могут автоматизировать атаки с использованием этой уязвимости. Это позволит охватить гораздо больше жертв.

XSS в этом случае работает таким образом, что вредоносный код загружается каждый раз при обращении посетителя сайта к его страницам.

По словам специалистов из Sucuri, проблема присутствует в функции wplc_head_basic, у которой отсутствует корректная проверка привилегий при обновлении настроек плагина.

«Хуки “admin_init“ могут вызываться через wp-admin/admin-post.php или /wp-admin/admin-ajax.php. Не прошедший аутентификацию атакующий может использовать это для обновления опции “wplc_custom_js“», — пишут исследователи.

Для решения проблемы эксперты рекомендуют установить версию WP Live Chat Support 8.0.27. Однако на момент написания материала сам плагин, похоже, вообще удален.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 25 Ноября 2024 - 10:10

Windows Ошибки конфигурации программ Домашние пользователи Microsoft

Апдейт Windows 11 24H2 заблокирован на компьютерах с играми от Ubisoft

Microsoft заблокировала обновление Windows 11 под номером 24H2 на компьютерах с установленными играми от Ubisoft: Assassin's Creed, Star Wars Outlaws и Avatar: Frontiers of Pandora. Сообщается о зависаниях и проблемах со звуком в упомянутых игровых проектах.

С момента выпуска Windows 11 24H2 на площадках Reddit и Microsoft Answers появился ряд жалоб от пользователей ОС, которые писали о проблемах в работе игр от компании Ubisoft.

«У кого-нибудь ещё появился странный лаг после установки последнего обновления Windows? Играю несколько минут, после чего игра просто крашится. До обновления всё было нормально», — пишет один из любителей Assassin's Creed Origins на Reddit.

Другой пользователь сообщал о таких же проблемах со Star Wars Outlaws: игра просто вылетает на рабочий стол и выдаёт ошибку.

Microsoft признала наличие проблемы и опубликовала следующее заявление:

«После установки Windows 11 версии 24H2 пользователи могут столкнуться с проблемами в играх от Ubisoft. Отмечаются зависания, вылеты и “чёрные экраны смерти“».

Список затронутых игровых проектов также прилагается: