安全研究人员发现了WordPress在线聊天支持的一个关键缺陷，攻击者可以利用它而不需要有效的凭证。

超过5万个网站安装了WordPress插件，为网站提供免费的在线聊天支持。

Alert Logic在调查WordPress的WP Live Chat插件中的一组其他漏洞时，首先发现了8.0.32版本中存在的关键身份验证绕过漏洞。新漏洞允许未经身份验证的用户访问受限制的REST API端点，这是关键身份验证绕过CVE-2019-12498漏洞的结果。

在一篇详细描述该漏洞的博客文章中，Alert Logic的研究人员解释了REST API端点易受攻击的原因，他们说:

“受影响的WP Live Chat版本的受限REST API端点很容易被未经身份验证的远程攻击者滥用，因为‘wplc_api_permission_check()’函数存在缺陷。”

由于该漏洞暴露了REST API的端点，潜在的攻击者可以提取网站上所有聊天会话的完整聊天日志，将文本注入正在进行的聊天会话，编辑注入的消息，并通过“任意终止活动聊天会话”来发起拒绝服务(DoS)攻击。

对于无法立即更新插件以缓解问题的管理员，Alert Logic有一个“使用wafingvirtual patchingusing a wafingto filter traffic For the WP Live Chat Support REST endpoint”的修复。

据该公司称，到目前为止，还没有攻击者试图利用认证绕过问题，该插件的开发者在5月底首次披露该漏洞的三天后发布了一个补丁。

如果您或您公司的网站使用WP Live Chat支持插件，强烈建议您将插件更新到8.0.33或更高版本，以防止您的网站成为攻击的受害者。