Nueva falla en el complemento de chat en vivo de WordPress permite a los hackers robar y secuestrar sesiones

complemento de chat en vivo de wordpress

Los investigadores de seguridad han estado advirtiendo sobre una vulnerabilidad crítica que descubrieron en uno de los populares complementos de chat en vivo de WordPress, que, si se explota, podría permitir que atacantes remotos no autorizados roben registros de chat o manipulen sesiones de chat.

La vulnerabilidad, identificada como CVE-2019-12498, reside en el «Soporte de chat en vivo de WP» que actualmente utilizan más de 50,000 empresas para brindar atención al cliente y chatear con los visitantes a través de sus sitios web.

Descubierta por investigadores de ciberseguridad en Alert Logic, la falla se origina debido a una verificación de validación incorrecta para la autenticación que aparentemente podría permitir que los usuarios no autenticados accedan a los puntos finales restringidos de la API REST.

piratería de chat en vivo de wordpress

Según lo descrito por los investigadores, un atacante remoto potencial puede explotar los puntos finales expuestos con fines maliciosos, que incluyen:

  • robar todo el historial de chat para todas las sesiones de chat,
  • modificar o eliminar el historial de chat,
  • inyectar mensajes en una sesión de chat activa, haciéndose pasar por un agente de atención al cliente,
  • finalizar por la fuerza las sesiones de chat activas, como parte de un ataque de denegación de servicio (DoS).

El problema afecta a todos los sitios web de WordPress, y también a sus clientes, que aún usan WP Live Chat Support versión 8.0.32 o anterior para ofrecer soporte en vivo.

Los investigadores informaron responsablemente el problema a los mantenedores de este complemento de WordPress afectado, quienes luego, de manera proactiva e inmediata, lanzaron una versión actualizada y parcheada de su complemento la semana pasada.

Aunque los investigadores aún no han visto ninguna explotación activa de la falla en la naturaleza, se recomienda encarecidamente a los administradores de WordPress que instalen la última versión del complemento lo antes posible.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática