Une vulnérabilité (CVE-2021-39341) a été identifiée dans le module complémentaire OptinMonster WordPress, qui compte plus d'un million d'installations actives et est utilisé pour afficher des notifications et des offres pop-up, vous permettant de placer votre code JavaScript sur un site. en utilisant le module complémentaire spécifié. La vulnérabilité a été corrigée dans la version 2.6.5. Pour bloquer l'accès via les clés capturées après l'installation de la mise à jour, les développeurs d'OptinMonster ont révoqué toutes les clés d'accès API précédemment créées et ajouté des restrictions sur l'utilisation des clés du site WordPress pour modifier les campagnes OptinMonster.
Le problème était dû à la présence de l'API REST /wp-json/omapp/v1/support, accessible sans authentification - la requête a été exécutée sans vérifications supplémentaires si l'en-tête Referer contenait la chaîne « https://wp .app.optinmonster.test » et lors de la définition du type de requête HTTP sur « OPTIONS » (remplacé par l'en-tête HTTP « X-HTTP-Method-Override »). Parmi les données renvoyées lors de l'accès à l'API REST en question, il y avait une clé d'accès qui permet d'envoyer des requêtes à n'importe quel gestionnaire de l'API REST.
À l'aide de la clé obtenue, l'attaquant pourrait apporter des modifications à tous les blocs pop-up affichés à l'aide d'OptinMonster, notamment en organisant l'exécution de son code JavaScript. Ayant obtenu la possibilité d'exécuter son code JavaScript dans le contexte du site, l'attaquant pourrait rediriger les utilisateurs vers son site ou organiser la substitution d'un compte privilégié dans l'interface web lorsque l'administrateur du site exécutait le code JavaScript substitué. Ayant accès à l'interface web, l'attaquant pourrait réaliser l'exécution de son code PHP sur le serveur.
Source: opennet.ru