CVE-2026-44633Live Helper Chat 4.84v版本存在严重的越权漏洞。由于REST API聊天更新端点的访问控制失效,拥有低权限的用户可以更新其无权访问的部门中的聊天数据。攻击者利用该漏洞可修改聊天哈希及状态,甚至写入恶意JavaScript代码至operation_admin字段,导致操作员端执行恶意脚本,造成数据泄露或会话劫持。
该漏洞的核心在于Live Helper Chat 4.84v REST API接口的权限校验逻辑存在严重缺陷。系统在处理聊天更新请求时,仅检查了用户是否具备基础的lhchat/use权限,而未能严格验证用户对目标聊天所属部门是否具备必要的读取权限。这种逻辑漏洞导致了典型的越权访问(IDOR),使得低权限用户能够直接干涉并篡改任意部门的聊天对象数据。
在利用层面,攻击者可以通过发送特制的API请求,修改关键的字段如聊天哈希和状态,从而劫持访客会话或破坏审计日志。更为危险的是,该端点允许设置operation_admin字段。由于应用程序在后续处理中,未对该字段进行有效的输入验证和输出编码,直接将其内容渲染为操作员端的JavaScript代码。因此,攻击者可以在该字段中注入恶意的JavaScript Payload。一旦管理员或客服操作员通过后台查看被篡改的聊天记录,注入的脚本将立即在其浏览器上下文中执行,导致存储型跨站脚本攻击(Stored XSS),进而可能造成管理员权限被窃取、敏感数据泄露或进一步的横向移动。