Identifikovana je ranjivost (CVE-2021-39341) u dodatku OptinMonster WordPress, koji ima više od milion aktivnih instalacija i koristi se za prikaz iskačućih obavještenja i ponuda, omogućavajući vam da postavite svoj JavaScript kod na web lokaciju koristeći navedeni dodatak. Ranjivost je ispravljena u izdanju 2.6.5. Da bi blokirali pristup putem uhvaćenih ključeva nakon instaliranja ažuriranja, programeri OptinMonster-a su opozvali sve prethodno kreirane pristupne ključeve API-ja i dodali ograničenja za korištenje ključeva web-mjesta WordPress za izmjenu OptinMonster kampanja.
Problem je uzrokovan prisustvom REST-API-a /wp-json/omapp/v1/support, kojem se moglo pristupiti bez autentifikacije - zahtjev je izvršen bez dodatnih provjera da li je zaglavlje Referer sadržavalo niz „https://wp .app.optinmonster.test” i prilikom postavljanja tipa HTTP zahtjeva na „OPTIONS” (preodređeno HTTP zaglavljem „X-HTTP-Method-Override”). Među podacima vraćenim prilikom pristupa dotičnom REST-API-ju, nalazio se pristupni ključ koji vam omogućava da pošaljete zahtjeve bilo kojim REST-API rukovaocima.
Koristeći dobijeni ključ, napadač je mogao izvršiti promjene u svim pop-up blokovima prikazanim pomoću OptinMonster-a, uključujući organiziranje izvršavanja svog JavaScript koda. Nakon što je dobio priliku da izvrši svoj JavaScript kod u kontekstu stranice, napadač je mogao preusmjeriti korisnike na svoju stranicu ili organizirati zamjenu privilegovanog naloga u web interfejsu kada administrator stranice izvrši zamijenjeni JavaScript kod. Imajući pristup web interfejsu, napadač je mogao da postigne izvršenje svog PHP koda na serveru.
izvor: opennet.ru