V doplňku OptinMonster WordPress byla identifikována zranitelnost (CVE-2021-39341), která má více než milion aktivních instalací a používá se k zobrazování vyskakovacích oznámení a nabídek, což vám umožňuje umístit váš kód JavaScript na web. pomocí zadaného doplňku. Tato chyba zabezpečení byla opravena ve verzi 2.6.5. Aby po instalaci aktualizace zablokovali přístup prostřednictvím zachycených klíčů, vývojáři OptinMonster odvolali všechny dříve vytvořené přístupové klíče API a přidali omezení pro použití klíčů webu WordPress pro úpravu kampaní OptinMonster.
Problém byl způsoben přítomností REST-API /wp-json/omapp/v1/support, ke kterému bylo možné přistupovat bez ověření - požadavek byl proveden bez dalších kontrol, pokud hlavička Referer obsahovala řetězec „https://wp .app.optinmonster.test“ a při nastavení typu požadavku HTTP na „OPTIONS“ (přepsáno hlavičkou HTTP „X-HTTP-Method-Override“). Mezi daty vrácenými při přístupu k dotyčnému REST-API byl přístupový klíč, který vám umožňuje odesílat požadavky libovolným obslužným rutinám REST-API.
Pomocí získaného klíče mohl útočník provést změny ve všech vyskakovacích blocích zobrazených pomocí OptinMonster, včetně organizace provádění svého kódu JavaScript. Poté, co útočník získal příležitost spustit svůj JavaScript kód v kontextu webu, mohl přesměrovat uživatele na jeho web nebo zorganizovat nahrazení privilegovaného účtu ve webovém rozhraní, když správce webu provedl nahrazený JavaScriptový kód. Díky přístupu k webovému rozhraní by útočník mohl dosáhnout spuštění svého PHP kódu na serveru.
Zdroj: opennet.ru