Investigadores encontraram uma falha de XSS persistente neste plugin de Wordpress.

Para quem não conhece, o XSS ou Cross-site Scripting, na área de Segurança, é uma falha que permite injetar código malicioso num website e, por exemplo, roubar cookies de sessão dos utilizadores ou mesmo executar código na máquina da vítima que clique no URL do site vulnerável ou que visite uma página onde o código malicioso está injetado.

Há três casos/situações para este tipo de ataque, sendo que esta falha de wordpress é exemplo do XSS persistente, bastante comum em fóruns (um exemplo), em que o atacante consegue injetar código malicioso numa determinada página e qualquer pessoa que vá para essa página é infetada (o seu cookie pode ser roubado ou o atacante pode executar código ou tomar controlo da sua máquina)

Esta falha de wordpress pode ser mais grave, porque o utilizador ou atacante não necessita de conta no site afetado para poder explorar a falha. Estima-se que este plugin esteja instalado em 60 mil máquinas, sendo o seu objetivo apresentar uma solução de conversa entre os clientes.

Versões do plugin vulneráveis:

- Anteriores à 8.0.27

Como vetor de ataque, é possível usar o admin_init. O principal problema está na função wplc_head_basic, que não possui uma validação apropriada dos privilégios aquando da atualização do plugin ou das configurações de atualização do mesmo.

Como o conteúdo da opção é adicionada em todas as páginas que tenham este plugin, os atacantes podem injetar código em múltiplas páginas.

Versão corrigida:

8.0.27

Fonte: https://www.bleepingcomputer.com/news/security/bug-in-wordpress-live-chat-plugin-lets-hackers-inject-scripts/