WordPress ライブ チャット サポート プラグインのクロスサイト スクリプティング

日々、WordPress CMS の脆弱性や攻撃が明るみに出ています。明らかに、これで終わりではありません。上記の脆弱性に加えて、別の非常に深刻なクロスサイト スクリプティングの脆弱性が WordPress プラグイン wp-live-chat-support で公開されています。この XSS in wp ライブ チャット サポート プラグインは、8.0.27 より前のバージョンです。

WP ライブ チャット サポート プラグインには、公式の WordPress プラグイン ディレクトリによると 60,000 以上のインストールがあり、わずか 15 時間前に更新されました。

リスクのステータス

脆弱性の重大度は、認証されていないユーザー (アカウントを持っていなくても) が、脆弱な Web サイトに悪意のあるスクリプトを挿入することにより、この脆弱性をリモートで悪用できるという事実から推定できます。

この脆弱性は、保護されていない admin_init が原因で発生しました フック。

/wp-admin/admin-post.php のいずれかにアクセスして呼び出すことができます または /wp-admin/admin-ajax.php 認証されていない攻撃者が任意にオプション「wplc_custom_js」を更新する

さらに、 wplc_custom_js の内容は つまり、悪意のある JavaScript が同じページに読み込まれます。通常、悪意のある JavaScript の読み込みは、攻撃者が XSS を簡単に達成するのに役立ちます。

リスクを軽減

最新バージョンに更新

これに対する最善の解決策は、wp-live chat サポートを最新バージョン、つまりバージョン 8.0.27 以降に更新することです。脆弱性が報告されてから、開発者は脆弱なバージョンにパッチを当てるのにほぼ半月かかりました。それ以来、WP ライブ チャット サポート プラグインには 2 回パッチが適用されています。ダウンロード可能な現在のバージョンは 8.0.29 です。

WordPress セキュリティ スイート

あなたのウェブサイトに警備員がいることは常に役に立ちます。 Astra WordPress セキュリティ スイート WordPress 向けに調整されており、継続的かつ包括的なファイアウォールで完全な保護を提供します。これに加えて、Astra のオンデマンド マルウェア スキャナーは、クリックするだけで悪意のあるファイルをスキャンしてフラグを立てます。さらに、最初のスキャンに 10 分もかからず、2 回目以降のスキャンもさらに短くなります。

今すぐ Astra のデモを入手してください!