WordPress实时聊天插件中的新漏洞允许黑客窃取和劫持会话

该漏洞被确定为CVE-2019-12498，位于“WP Live Chat Support”中，目前有超过50000家企业使用它来提供客户支持，并通过其网站与访客聊天。

正如研究人员所述，潜在的远程攻击者可以利用暴露的端点进行恶意攻击，包括：

• 窃取所有聊天会话的整个聊天历史记录，
• 修改或删除聊天记录，
• 将消息注入活动聊天会话，假装成客户支持代理，
• 作为拒绝服务（DoS）攻击的一部分，强制终止活动聊天会话。

该问题影响到所有WordPress网站及其客户，他们仍在使用WP Live Chat Support 8.0.32或更早版本来提供实时支持。
研究人员负责任地向受影响的WordPress插件的维护人员报告了这个问题，他们在上周主动并立即发布了插件的更新和修补版本。

虽然研究人员还没有看到任何在野外积极利用该漏洞的行为，但强烈建议WordPress管理员尽快安装最新版本的插件。