![](\"https:\/\/sophos.files.wordpress.com\/2019\/05\/wp-live-chat-support.jpg\"\/)
<\/p>\nAlcuni ricercatori hanno scoperto il secondo grave bug in un plugin di WordPress questo mese che potrebbe portare alla compromissione di massa dei siti web WordPress.<\/p>\n
Il bug nel plugin WP Live Chat Support<\/a> consente agli aggressori di inserire il proprio codice nei siti web che lo eseguono. La scoperta avviene a sole 6 settimane dall\u2019individuazione di un bug nello stesso plugin che consentiva agli aggressori di eseguire codice sui siti Web interessati.<\/p>\n WP Live Chat Support \u00e8 un plug-in di terze parti open source per WordPress che consente agli utenti di installare funzionalit\u00e0 di chat dal vivo sui propri siti per il supporto clienti. A quanto afferma la sua pagina WordPress ad oggi sono oltre 60.000 le installazioni attive del software.<\/p>\n Secondo Sucuri, la vulnerabilit\u00e0<\/a> si trova in un hook admin_init non protetto. Un hook \u00e8 un modo per interagire con un pezzo di codice e cambiarne un altro.<\/p>\n WordPress richiama l’hook admin_init ogni volta che qualcuno visita la pagina di amministrazione di un sito WordPress e gli sviluppatori, a quel punto, possono usarlo per richiamare varie funzioni.<\/p>\n Il problema \u00e8 che admin_init non richiede l’autenticazione, il che significa che chiunque visiti l’URL dell’amministratore pu\u00f2 provocarne l’esecuzione. L’hook di amministrazione di WP Live Chat richiama un’azione chiamata wplc_head_basic, che aggiorna le impostazioni del plugin senza controllare i privilegi dell’utente.<\/p>\n Un utente malintenzionato non autenticato potrebbe utilizzare questa vulnerabilit\u00e0 per aggiornare un’opzione JavaScript denominata wplc_custom_js. Questa opzione controlla il contenuto che il plug-in visualizza ogni volta che viene mostrata la finestra di supporto della chat dal vivo. I ricercatori affermano che un hacker pu\u00f2 inserire il codice JavaScript malevolo in pi\u00f9 pagine su un sito Web basato su WordPress.<\/p>\n Questa non \u00e8 la prima volta che WP Live Chat ha dovuto patchare il suo plugin. L’anno scorso, i suoi sviluppatori hanno rilasciato la patch per CVE-2018-12426, un bug che permetteva agli utenti di caricare script PHP sul sito ed eseguire il codice da remoto.<\/p>\n Ad aprile, Alert Logic ha rilevato che il plugin era ancora vulnerabile anche dopo la patch. Secondo i ricercatori, gli sviluppatori hanno preferito scrivere il proprio codice di caricamento dei file piuttosto che affidarsi al codice integrato di WordPress.<\/p>\n Il supporto di WP Live Chat ha corretto il bug di inserimento JavaScript nella versione 8.0.27 e il bug di caricamento del file nella 8.0.29, rilasciata il 15 maggio 2017. I proprietari di siti Web dovrebbero ora applicare le patch, afferma Sucuri:<\/p>\n Le aggressioni non autenticate sono molto serie perch\u00e9 possono essere automatizzate, rendendo facile per gli hacker lanciare attacchi efficaci e diffusi contro siti Web vulnerabili. Il numero di installazioni attive, la facilit\u00e0 di utilizzo e gli effetti di un attacco di successo sono ci\u00f2 che rende questa vulnerabilit\u00e0 particolarmente pericolosa.<\/em><\/p>\n Tuttavia, alcuni utenti si sono lamentati per il fatto di non essere in grado di aggiornarsi. La pagina<\/a> di WP Live Chat nella directory dei plugin di WordPress afferma di essere chiusa alle nuove installazioni. Nel suo forum di supporto, l’utente Tiiunder ha scritto<\/a>:<\/p>\n Non riesco pi\u00f9 ad aggiornare il plug-in, cosa necessaria a causa della vulnerabilit\u00e0 verificatasi negli ultimi giorni. <\/em>Se mi collego ottengo il messaggio: questo plugin non \u00e8 pi\u00f9 disponibile per le nuove installazioni.<\/em><\/p>\n Altri hanno riportato lo stesso problema, compreso un utente che si lamentava del fatto che il plugin fosse parte di un tema WordPress che avevano acquistato.<\/p>\n Non siamo stati in grado di ottenere una risposta dall’azienda tramite diversi canali, ma la scorsa settimana, su Twitter, essa ha sollecitato<\/a> le persone ad aggiornarsi. Il suo blog menziona<\/a> il fatto che recentemente la societ\u00e0 ha fuso le versioni gratuite e pro del plugin e rimanda a una guida all’installazione<\/a>.<\/p>\n<\/p><\/div>\n