พบช่องโหว่ปลั๊กอิน WP Live Chat บน WordPress ทำให้แฮกเกอร์สามารถเพิ่มข้อความและขโมย Logs ได้

นักวิจัยด้านความปลอดภัยจาก Alert Logic พบช่องโหว่ในปลั๊กอิน WP Live Chat สำหรับ WordPress ช่องโหว่นี้จะช่วยให้แฮกเกอร์สามารถเข้าถึงส่วน REST API endpoints ได้ แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้เข้าถึงบันทึกการแชทที่เก็บไว้ทั้งหมดได้

แฮกเกอร์จะสามารถแทรก, แก้ไขข้อความลงในช่องแชทได้ รวมไปถึงทำการโจมตีแบบ denial of service (DoS) ได้อีกด้วย

ช่องโหว่นี้เกิดจากฟังก์ชั่น wplc_api_permission_check() ที่อยู่ใน REST API endpoints สำหรับรายละเอียดของการโจมตีสามารถดูได้ที่ Alert Logic Researchers Find Another Critical Vulnerability in WordPress WP Live Chat – CVE-2019-12498

หมายเลขช่องโหว่นี้คือ CVE-2019-12498 ซึ่งมีผลกระทบกับปลั๊กอิน WP Live Chat ตั้งแต่เวอร์ชั่น 8.0.32 ลงไป

จากการตรวจสอบของ Alert Logic ยังไม่พบว่ามีการนำช่องโหว่นี้ไปใช้ประโยชน์

สำหรับวิธีการป้องกัน แนะนำให้ทำการอัพเดทปลั๊กอิน WP Live Chat ใให้เป็นเวอร์ชั่นล่าสุดคือ เวอร์ชั่น 8.0.34 เพื่อเป้นการป้องกันปัญหาช่องโหว่นี้

ที่มา: Bleeping Computer