Haavatavus (CVE-2021-39341) on tuvastatud OptinMonsteri WordPressi lisandmoodulis, millel on üle miljoni aktiivse installi ning mida kasutatakse hüpikteadete ja pakkumiste kuvamiseks, mis võimaldab teil oma JavaScripti koodi saidile paigutada. kasutades määratud lisandmoodulit. Haavatavus parandati versioonis 2.6.5. Juurdepääsu blokeerimiseks hõivatud võtmete kaudu pärast värskenduse installimist tühistasid OptinMonsteri arendajad kõik varem loodud API juurdepääsuvõtmed ja lisasid piirangud WordPressi saidivõtmete kasutamisele OptinMonsteri kampaaniate muutmiseks.
Probleemi põhjustas REST-API /wp-json/omapp/v1/support olemasolu, millele pääses juurde ilma autentimiseta – taotlus täideti ilma täiendavate kontrollideta, kui viitaja päis sisaldas stringi “https://wp .app.optinmonster.test” ja kui määrate HTTP päringu tüübiks "OPTIONS" (alistatakse HTTP päisega "X-HTTP-Method-Override"). Kõnealusele REST-API-le juurdepääsul tagastatud andmete hulgas oli pääsuvõti, mis võimaldab teil saata päringuid mis tahes REST-API töötlejatele.
Saadud võtit kasutades saab ründaja teha muudatusi kõigis OptinMonsteri abil kuvatavates hüpikakende plokkides, sealhulgas korraldada oma JavaScripti koodi täitmist. Olles saanud võimaluse käivitada oma JavaScripti kood saidi kontekstis, võis ründaja suunata kasutajad oma saidile või korraldada privilegeeritud konto asendamise veebiliideses, kui saidi administraator käivitas asendatud JavaScripti koodi. Omades juurdepääsu veebiliidesele, võib ründaja saavutada oma PHP-koodi täitmise serveris.
Allikas: opennet.ru