Sicherheitsupdate: WordPress-Plugin WP Live Chat Support für Attacken anfällig

Aufgrund eines Fehlers könnten Angreifer Schadcode auf WordPress-Websites mit dem Plugin WP Live Chat Support verankern.

Die Websites von mehr als 60.000 Nutzern des WordPress-Plugins WP Live Chat Support sind potenziell angreifbar. Angreifer können die Sicherheitslücke aus der Ferne und ohne Authentifizierung ausnutzen, um Schadcode auf einer betroffenen Website zu platzieren.

Die CVE-Nummer der Schwachstelle ist derzeit nicht bekannt. Die Lücke gilt nicht als kritisch. Die Entwickler haben mittlerweile die abgesicherte Version 8.0.27 des Plugins veröffentlicht. Alle vorherigen Versionen sind über diese Schwachstelle angreifbar.

Es handelt sich um eine persistente XSS-Lücke, wie Sicherheitsforscher von Sucuri in einem Beitrag beschreiben. Ein ungeschützter admin_init hook kombiniert mit fehlender Rechteprüfung ermöglicht es Angreifern, gefährlichen JavaScript-Code dauerhaft in eine anfällige Website einzuschleusen. Die technischen Details finden sich im Beitrag der Sucuri-Forscher.

Gefunden auf: https://www.heise.de/security/meldung/Sicherheitsupdate-WordPress-Plugin-WP-Live-Chat-Support-fuer-Attacken-anfaellig-4423479.html