Masaki Sunayama

**Nome do software vulnerável e versões afetadas** Plugin Free Live Chat Support para versões do WordPress até a 1.0.11, inclusive **Descrição** O problema se deve à falta de proteção por nonce na função `livesupporti settings()`, localizada no arquivo ~/livesupporti.php. Isso permite que invasores não autenticados injetem scripts maliciosos na página caso consigam induzir o administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 1.0.11, inclusive, atualize para uma versão que inclua proteção por nonce para a função `livesupporti settings()` a fim de prevenir ataques de falsificação de solicitação entre sites (CSRF). Como solução temporária, considere restringir o acesso à função `livesupporti settings()` até que um patch esteja disponível.