最近的例子為線上客服程式WP Live Chat Support,它允許WordPress網站與造訪者進行即時的線上交流,而且可在客戶送出訊息前就看到訊息內容,亦具備檔案或影像分享能力,估計至少有6萬個WordPress網站安裝了WP Live Chat Support。
不過,先是Sucuri Firewall團隊在4月底發現WP Live Chat Support含有常駐的跨站指令碼漏洞。Alert Logic研究團隊繼之於5月初,揭露WP Live Chat Support團隊在去年5月釋出的8.0.11,理應完成CVE‐2018‐12426漏洞的修補,但並沒有真正地解決問題,駭客依然能夠上傳惡意檔案到用戶電腦。
令人不解的是,WP Live Chat Support已在5月15日釋出最新的8.0.27以修補相關漏洞,但WordPress卻在5月17日關閉了WP Live Chat Support的下載服務,且不管是WordPress或WP Live Chat Support團隊,都未提出任何的說明。
