매일 WordPress CMS에 대한 취약점이나 공격이 밝혀집니다. 이것이 끝이 아니라는 것은 분명합니다. 이전의 취약점에 추가하여 또 다른 매우 심각한 크로스 사이트 스크립팅 취약점이 WordPress 플러그인 wp-live-chat-support에 노출됩니다. wp 라이브 채팅 지원 플러그인의 이 XSS는 8.0.27 이전 버전에 있습니다.
WP-라이브 채팅 지원 플러그인은 공식 WordPress 플러그인 디렉토리에 따라 60,000개 이상 설치되었으며 15시간 전에 업데이트되었습니다.
위험 상황
인증되지 않은 사용자(계정이 없어도)가 취약한 웹사이트에 악성 스크립트를 삽입하여 원격으로 이 취약성을 악용할 수 있다는 사실에서 취약성의 심각도를 추정할 수 있습니다.
이 취약점은 보호되지 않은 admin_init로 인해 발생했습니다. 후크.
/wp-admin/admin-post.php을 방문하여 호출할 수 있습니다. 또는 /wp-admin/admin-ajax.php 인증되지 않은 공격자가 "wplc_custom_js 옵션을 임의로 업데이트합니다. ".
또한 wplc_custom_js의 내용은 라이브 채팅이 표시되는 페이지에 로드됩니다. 즉, 악성 자바스크립트가 동일한 페이지에 로드되며 일반적으로 악성 자바스크립트 로드는 공격자가 XSS를 쉽게 달성하는 데 도움이 됩니다.
위험 완화
최신 버전으로 업데이트
이에 대한 최상의 솔루션은 wp-live 채팅 지원을 최신 버전(예:버전 8.0.27 이상)으로 업데이트하는 것입니다. 취약점이 보고된 후 개발자는 취약한 버전을 패치하는 데 거의 반달이 걸렸습니다. 그 이후로 WP 라이브 채팅 지원 플러그인이 두 번 패치되었습니다. 현재 다운로드 가능한 버전은 8.0.29입니다.
WordPress 보안 제품군
웹사이트에 경비원이 있으면 항상 도움이 됩니다. Astra WordPress 보안 제품군 WordPress에 맞게 조정되었으며 지속적이고 포괄적인 방화벽으로 완벽한 보호를 제공합니다. 이 외에도 Astra의 주문형 Malware Scanner는 클릭 한 번으로 악성 파일을 검색하고 플래그를 지정합니다. 또한 첫 번째 스캔의 경우 10분 미만이 소요되며 후속 스캔의 경우 훨씬 더 짧습니다.
지금 Astra 데모를 받으십시오!