流行的WordPress“实时聊天”插件中的一个关键漏洞为未经授权的远程攻击者窃取聊天记录或操纵聊天会话创造了一种手段。

该认证绕过漏洞 -通过在警报逻辑安全研究人员发现了-会影响的WordPress安装依赖于从WP实时聊天支持8.0.32版本的支持或更早。

安全漏洞（CVE-2019-12498）为潜在攻击者创建了一种无需有效凭据即可访问REST API功能的方法 - 可能允许不法分子收集聊天记录以及操纵聊天会话的能力。

作为拒绝服务攻击的一部分，任意结束活动聊天会话也是可能的。

Alert Logic认为漏洞未被积极利用。即便如此，恶作剧的范围仍然存在。

幸运的是，Alert Logic与开发人员合作，允许创建一个补丁，该补丁的发布使安全研究人员能够公开他们的研究结果。

最好通过修补来解决此漏洞，但可以使用Web应用程序防火墙进行缓解。

WP Live Chat Support已下载150万次，已被超过50,000家企业使用。

WordPress内容管理系统及其各种插件中的缺陷很多，有些技术人员有时将其描述为“带有博客扩展的远程shell软件”。

供应商KnowBe4的安全意识倡导者Javvad Malik评论道：“WordPress经常被攻击并且漏洞被披露。网站管理员在决定安装哪些插件并确保它们保持最新时应该谨慎行事。”