Aufgrund eines Fehlers könnten Angreifer Schadcode auf WordPress-Websites mit dem Zusatzmodul WP Live Chat Support verankern.
Die Websites von mehr als 60.000 Nutzern des WordPress-Plugins WP Live Chat Support sind potenziell angreifbar. Angreifer sollen eine Sicherheitslücke aus der Ferne und ohne Authentifizierung ausnutzen können, um auf einer Website Schadcode platzieren zu können.
Die CVE-Nummer der Schwachstelle ist derzeit nicht bekannt. Die Lücke gilt nicht als kritisch. Mittlerweile haben die Entwickler die abgesicherte Ausgabe 8.0.27des Plugins veröffentlicht. Es ist davon auszugehen, dass alle vorigen Versionen über die Schwachstelle angreifbar sind.
Es handelt sich um eine persistente XSS-Lücke, wie Sicherheitsforscher von Sucuri in einem Beitrag berichten. Aufgrund eines ungeschützten admin_init hook und einer fehlenden Prüfung von Nutzerrechten sollen Angreifer gefährlichen Java-Code dauerhaft auf eine anfällige Website schieben können. Weitere Details zur Lücke findet man im Beitrag der Sicherheitsforscher.