Esta falha pode ser explorada por um atacante de forma remota para roubar logs de chat e manipular sessões.

É crítica na sua severidade, dada pelo CVE-2019-12498, sendo um problema de ultrapassagem da autenticação.

Na causa do problema, encontra-se a validação imprópria da autenticação, pelo que o atacante consegue fazer o trigger do problema através do acesso a endpoints da REST API restrita. Estes endpoints estão expostos a ataques por parte de atacantes não autenticados devido a uma falha na função ‘wplc_api_permission_check()’..

Versões afetadas

8.0.32 e anteriores

O que um atacante consegue fazer com esta falha:

- roubar toda a informação do histórico do chat, todas as sessões do chat, modificando e apagando o histórico

- injetar mensagens numa sessão ativa de chat, agindo como o agente de suporte

- incorrer num ataque de DoS, acabando de forma forçada com as sessões ativas do chat

Os administradores devem atualizar o plugin para a versão mais recente, de forma a corrigirem o problema.

Fonte: https://gixtools.net/2019/06/new-flaw-in-wordpress-live-chat-plugin-lets-hackers-steal-and-hijack-sessions/