Un grupo de investigadores de seguridad informática de la empresa Alert Logic han estado advirtiendo sobre una vulnerabilidad crítica que descubrieron en uno de los populares plugins de WordPress Live Chat, que de ser explotados, podrían permitir que atacantes remotos no autorizados robar los registros de chat o manipulen las sesiones de chat.
La vulnerabilidad, identificada como CVE-2019-12498, reside en el “Soporte de chat en vivo WP” que actualmente utilizan más de 50,000 empresas para brindar soporte al cliente y chatear con los visitantes a través de sus sitios web.
Los investigadores de seguridad informática hicieron público a través de un post en su blog la falla de seguridad se origina debido a una verificación de validación incorrecta para la autenticación que aparentemente podría permitir a los usuarios no autenticados acceder a los puntos finales de la API REST restringida.
Según lo descrito por los investigadores, un potencial atacante remoto puede explotar puntos finales expuestos con fines maliciosos, que incluyen, pero no necesariamente están limitados a:
- Robo de todo el historial del chat para todas las sesiones de chat.
- Modificando o borrando del historial de chat.
- Inyectar mensajes en una sesión de chat activa, haciéndose pasar por un agente de atención al cliente.
- Finalizar a la fuerza las sesiones de chat activas, como parte de un ataque de denegación de servicio (DoS).
El problema afecta a todos los sitios web de WordPress, y también a sus clientes, que aún utilizan la versión 8.0.32 o anterior del plugin WP Live Chat Support para ofrecer asistencia a sus clientes a través de su web.
Los investigadores informaron responsablemente sobre el problema a los mantenedores de este plugin de WordPress, que luego lanzaron de forma proactiva e inmediatamente una versión actualizada y parchada de su complemento la semana pasada.
Aunque los investigadores aún no han visto ninguna explotación activa de la falla en Internet, se recomienda a los administradores de WordPress que instalen la última versión del plugin tan pronto como sea posible.