- 您的需求已经提交,我们将在48小时内联系您
- 全国服务热线:400-1000-221
确定
- 免费享受企业级云安全服务
获取手机验证码
{{message}}
免费试用
黑客利用WordPress聊天插件漏洞注入文本、窃取日志
作者:
发布时间:2019-06-12
WordPress的聊天插件WP Live Chat Support中出现了严重的身份验证绕过漏洞( CVE-2019-12498),可被不具备有效凭证的黑客利用,访问原本被限制的RESTAPI端口。具体来说,暴露的REST API端点可能允许潜在的攻击者提取网站中所有聊天会话的完整记录,将文本注入正在进行的聊天会话,编辑注入的消息,并“随意结束正在进行的会话”,发起DoS攻击。据报道,安装了这款插件的网站数量累计超过5万个。目前,8.0.32及以前版本的插件均会受到这个漏洞影响。不过,研究人员暂时没有观察到攻击实例,且漏洞在5月29日首次披露后的三天内已经得到修复。