Se ha encontrado una vulnerabilidad en el plugin wp-live-chat-support de WordPress y clasificada como peligrosa. Una función no conocida del archivo wp-admin/admin.php?page=wplivechat-menu-gdpr-page ha sido afectada por esta vulnerabilidad. Mediante la manipulación del parámetro term de un input desconocido se causa este tipo de explotación del tipo cross site scripting.

Se conoce esta vulnerabilidad aproximadamente desde marzo y se ha  identificado como CVE-2019-9913. El ataque puede ser realizado desde la red y la explotación no necesita de autentificación.

Hemos recibido varias webs con dicha vulnerabilidad cuya sintomatología ha sido la de crear redirecciones  aleatorias maliciosas a los usuario que visitaban la web. En este caso hemos visto que el código que generaba es el siguiente:

Hemos podido comprobar que en wordpress.org el plugin gratuito no dispone actualmente de descarga, por lo que esperamos sea activado de nuevo y corregido el problema. Recomendamos desactivarlo hasta recibir una actualización fiable.