Se ha identificado una vulnerabilidad (CVE-2021-39341) en el complemento de WordPress OptinMonster, que tiene más de un millón de instalaciones activas y se utiliza para mostrar notificaciones emergentes y ofertas, lo que le permite colocar su código JavaScript en un sitio. utilizando el complemento especificado. La vulnerabilidad se solucionó en la versión 2.6.5. Para bloquear el acceso a través de claves capturadas después de instalar la actualización, los desarrolladores de OptinMonster revocaron todas las claves de acceso API creadas previamente y agregaron restricciones en el uso de claves de sitio de WordPress para modificar las campañas de OptinMonster.
El problema fue causado por la presencia de REST-API /wp-json/omapp/v1/support, a la que se podía acceder sin autenticación; la solicitud se ejecutó sin comprobaciones adicionales si el encabezado Referer contenía la cadena "https://wp .app.optinmonster.test” y al configurar el tipo de solicitud HTTP en "OPCIONES" (anulado por el encabezado HTTP "X-HTTP-Method-Override"). Entre los datos devueltos al acceder a la API REST en cuestión, se encontraba una clave de acceso que le permite enviar solicitudes a cualquier controlador de API REST.
Usando la clave obtenida, el atacante podría realizar cambios en cualquier bloque emergente mostrado usando OptinMonster, incluida la organización de la ejecución de su código JavaScript. Habiendo tenido la oportunidad de ejecutar su código JavaScript en el contexto del sitio, el atacante podría redirigir a los usuarios a su sitio u organizar la sustitución de una cuenta privilegiada en la interfaz web cuando el administrador del sitio ejecutara el código JavaScript sustituido. Al tener acceso a la interfaz web, el atacante podría ejecutar su código PHP en el servidor.
Fuente: opennet.ru