WordPress: scoperto un pericoloso bug nel plugin Live Chat Support

WordPressLive Chat Support è un plugin gratuito che permette di inserire una chat nel proprio sito per scambiare messaggi coi propri clienti in tempo reale. È molto utilizzato contando oltre 50.000 installazioni su altrettanti siti.

Il problema riscontrato riguarda un difetto di autenticazione critico nominato CVE-2019-12498 ed è stato scoperto dal team di Alert Logic. A causa di questo, soggetti non autenticati potrebbero riuscire ad accedere alle RESTful API, come spiegato dallo stesso team di cyber security che ha scoperto la falla:

“Gli endpoint dell’API REST delle installazioni di WP Live Chat affette dalla vulnerabilità, sono disponibili agli abusi da parte di utenti remoti non autenticati a causa di un difetto nella funzione ‘wplc_api_permission_check ()’. Questo consente agli hacker di estrarre i log delle chat e di manipolarne le sessioni”

“Le serie precedenti di ‘register_rest_route ()’ richiamano quegli endpoint REST API che dovrebbero avere restrizioni di accesso vista la natura delle funzionalità che espongono. […] Ogni endpoint condivide la stessa funzione ‘permission_callback’, ovvero la funzione ‘wplc_api_permission_check ()’ che verrà spiegata a breve”

Esporre gli endpoint dell’API REST comporterebbe il grande rischio che gli hackers estraggano gli interi registri delle chat oppure inserire testo durante le conversazioni in corso, modificare messaggi già inseriti o far terminare all’improvviso le chat attive come parte di un DoS (Denial of Service).

Come rimedio, Alert Logic consiglia l’aggiornamento all’ultima versione del plugin (attualmente la versione è la 8.0.34).

È doveroso aggiungere che il produttore di Live Chat Support ha distribuito la nuova versione del suo plugin dopo appena tre giorni dalla scoperta della falla, ma soprattutto che non sono stati riscontrati tentativi di bypass da parte di hacker nei giorni “non coperti”.

Un’altra vulnerabilità scoperta nel mese di maggio scorso e che riguarda Live Chat Support, è di tipo XSS (Cross-Site Scripting) e sta persistendo tuttora: questa falla consente l’accesso senza autenticazione e può essere sfruttata per inserire malware o codice malevolo. È stata riscontrata nel Live Chat Support dalla versione 8.0.26 e precedenti. Questa vulnerabilità è stata risolta con la versione 8.0.29.

 

Fonti: 1, 2, 3