50,000개 이상의 설치가 있는 WP 라이브 채팅 지원 플러그인이 다시 CVE-2019-12498로 식별된 심각한 취약점에 취약한 것으로 확인되었습니다. , 승인되지 않은 사용자가 채팅 기록을 훔치거나 현재 채팅 세션을 가로챌 수 있습니다. 버전 8.0.32 및 이전 버전은 취약합니다. 이 기사에서 전체 WP 라이브 채팅 지원 익스플로잇에 대해 읽어보세요.
WP 라이브 채팅 지원 플러그인이 심각한 크로스 사이트 스크립팅 취약점에 취약한 것으로 밝혀진 것은 불과 한 달 전이었습니다. 악명 높은 익스플로잇으로 인해 수많은 WordPress 웹 사이트가 손상되었습니다. 그 후 WordPress는 새로운 설치를 위해 WP 라이브 채팅 지원 플러그인을 일시적으로 중단했습니다.
관련 문서 – WordPress 라이브 채팅 지원 플러그인의 사이트 간 스크립팅
기술적 세부사항:WP 라이브 채팅 지원 활용
연구원들은 인증되지 않은 사용자가 REST API 기능에 액세스할 수 있도록 허용하는 플러그인의 왜곡된 유효성 검사로 인해 취약점이 발생했다고 밝혔습니다. 인증된 사용자의 권한으로 확장됩니다. 따라서 그는 채팅 로그를 유출하고 채팅 세션을 조작할 수 있습니다.
register_rest_route 아래 그림과 같이 채팅 수락, 채팅 종료, 메시지 보내기가 있습니다.
결함이 있는 wplc_api_permission_check 때문에 여기서 유효성 검사는 로그인한 사용자에 대한 권한 검사에 대해 "true"를 반환하므로 로그인하지 않은 사용자에게 모든 액세스 권한을 부여합니다.
WordPress 웹사이트가 해킹당했습니까? 여기에 메시지를 남겨주시거나 지금 채팅을 하시면 기꺼이 도와드리겠습니다. ?
위험:WP 라이브 채팅 지원 악용
연구원에 따르면 WP 라이브 채팅 지원의 취약점으로 인해 웹사이트가 직면하는 위험은 다음과 같습니다.
- 공격자는 모든 채팅 세션의 전체 채팅 기록을 추출할 수 있음
- 해커가 활성 채팅 세션을 가로채고 마음대로 조작할 수 있음
- 서비스 거부(DoS) 공격의 일환으로 활성 채팅 세션이 갑자기 종료될 수 있음
- 삽입된 메시지를 편집하여 삽입된 메시지에 포함된 내용을 숨길 수 있음
WordPress 웹사이트가 해킹당했습니까? 여기에 메시지를 남겨주시거나 지금 채팅을 하시면 기꺼이 도와드리겠습니다. ?
결론:WP 라이브 채팅 지원 활용
최신 버전으로 업데이트
보안 연구원이 개발자에게 취약점을 보고한 후 수정 및 업데이트된 버전인 8.0.34를 패치하여 출시했습니다. 아직 버전이 <=8.0.32인 경우 위험을 완화하기 위해 최신 버전(예:8.0.34)으로 업데이트하는 것을 고려하십시오.
완벽한 보안 솔루션 받기
24시간 웹사이트를 보호하는 것이 잔인한 해킹으로부터 웹사이트를 검색할 방법을 찾는 것보다 낫습니다. 웹 응용 프로그램 방화벽은 해킹 또는 사이버 공격 시도로부터 웹 사이트를 모니터링하고 보호하는 지속적인 모니터링 시스템입니다. Astra는 XSS, SQLi, 불량 봇, CSRF 및 100개 이상의 기타 사이버 공격과 같은 공격을 차단하는 지능형 방화벽을 제공합니다. 자체적으로 악성 IP를 식별하고 차단합니다. Astra Firewall은 웹사이트의 보안을 크게 강화합니다.
지금 Astra 데모를 받으십시오!