یک آسیب پذیری (CVE-2021-39341) در افزونه OptinMonster WordPress شناسایی شده است که بیش از یک میلیون نصب فعال دارد و برای نمایش اعلان ها و پیشنهادات پاپ آپ استفاده می شود و به شما امکان می دهد کد جاوا اسکریپت خود را در یک سایت قرار دهید. با استفاده از افزونه مشخص شده این آسیب پذیری در نسخه 2.6.5 رفع شد. برای مسدود کردن دسترسی از طریق کلیدهای ضبط شده پس از نصب به روز رسانی، توسعه دهندگان OptinMonster تمام کلیدهای دسترسی API ایجاد شده قبلی را لغو کردند و محدودیت هایی در استفاده از کلیدهای سایت وردپرس برای اصلاح کمپین های OptinMonster اضافه کردند.
مشکل به دلیل وجود REST-API /wp-json/omapp/v1/support ایجاد شد که بدون احراز هویت قابل دسترسی بود - اگر هدر Referer حاوی رشته "https://wp" باشد، درخواست بدون بررسی اضافی اجرا شد. .app.optinmonster.test» و هنگام تنظیم نوع درخواست HTTP روی «OPTIONS» (با سرصفحه HTTP «X-HTTP-Method-Override» لغو می شود). در میان دادههایی که هنگام دسترسی به REST-API مورد نظر بازگردانده میشوند، یک کلید دسترسی وجود دارد که به شما امکان میدهد درخواستها را به هر کنترلکننده REST-API ارسال کنید.
با استفاده از کلید بهدستآمده، مهاجم میتواند تغییراتی را در هر بلوک پاپآپ نمایش داده شده با استفاده از OptinMonster اعمال کند، از جمله سازماندهی اجرای کد جاوا اسکریپت خود. با به دست آوردن فرصت اجرای کد جاوا اسکریپت خود در زمینه سایت، مهاجم می تواند کاربران را به سایت خود هدایت کند یا زمانی که مدیر سایت کد جاوا اسکریپت جایگزین شده را اجرا می کند، جایگزینی یک حساب کاربری ممتاز را در رابط وب سازماندهی کند. با دسترسی به رابط وب، مهاجم می تواند کد PHP خود را بر روی سرور اجرا کند.
منبع: opennet.ru