In kwetsberens (CVE-2021-39341) is identifisearre yn 'e OptinMonster WordPress-tafoeging, dy't mear as in miljoen aktive ynstallaasjes hat en wurdt brûkt om pop-up-notifikaasjes en oanbiedingen te werjaan, wêrtroch jo jo JavaScript-koade op in side kinne pleatse mei help fan de oantsjutte add-on. De kwetsberens waard reparearre yn release 2.6.5. Om tagong te blokkearjen fia finzene kaaien nei it ynstallearjen fan de fernijing, hawwe OptinMonster-ûntwikkelders alle earder oanmakke API-tagongskaaien ynlutsen en beheiningen tafoege oan it brûken fan WordPress-side-kaaien om OptinMonster-kampanjes te feroarjen.
It probleem waard feroarsake troch de oanwêzigens fan 'e REST-API /wp-json/omapp/v1/support, dy't tagong koe wurde sûnder autentikaasje - it fersyk waard útfierd sûnder ekstra kontrôles as de Referer-header de tekenrige "https://wp befette" .app.optinmonster.test" en by it ynstellen fan it HTTP-fersyktype op "OPTIONS" (oerskreaun troch de HTTP-header "X-HTTP-Method-Override"). Under de gegevens weromjûn by tagong ta de REST-API yn kwestje, wie d'r in tagongskaai wêrmei jo fersiken kinne stjoere nei alle REST-API-behannelers.
Mei help fan de krigen kaai, de oanfaller koe meitsje feroarings oan alle pop-up blokken werjûn mei OptinMonster, ynklusyf it organisearjen fan de útfiering fan syn JavaScript-koade. Nei't er de kâns krigen hat om syn JavaScript-koade út te fieren yn 'e kontekst fan' e side, koe de oanfaller brûkers omliede nei syn side of it ferfangen fan in befoarrjochte akkount yn 'e webynterface organisearje as de sidebehearder de ferfongen JavaScript-koade útfierde. Mei tagong ta de webynterface koe de oanfaller útfiering fan syn PHP-koade op 'e tsjinner berikke.
Boarne: opennet.ru