Identificouse unha vulnerabilidade (CVE-2021-39341) no complemento OptinMonster WordPress, que ten máis dun millón de instalacións activas e úsase para mostrar notificacións emerxentes e ofertas, o que lle permite colocar o seu código JavaScript nun sitio. usando o complemento especificado. A vulnerabilidade foi corrixida na versión 2.6.5. Para bloquear o acceso a través das claves capturadas despois de instalar a actualización, os desenvolvedores de OptinMonster revogaron todas as claves de acceso á API creadas anteriormente e engadiron restricións ao uso das claves do sitio de WordPress para modificar as campañas de OptinMonster.
O problema foi causado pola presenza da REST-API /wp-json/omapp/v1/support, á que se podía acceder sen autenticación: a solicitude executouse sen comprobacións adicionais se a cabeceira do Referer contiña a cadea "https://wp". .app.optinmonster.test” e ao configurar o tipo de solicitude HTTP en “OPCIÓNS” (anulado pola cabeceira HTTP “X-HTTP-Method-Override”). Entre os datos devoltos ao acceder á REST-API en cuestión, había unha clave de acceso que che permite enviar solicitudes a calquera controlador REST-API.
Usando a clave obtida, o atacante podería facer cambios en calquera bloque emerxente que se mostrase mediante OptinMonster, incluíndo a organización da execución do seu código JavaScript. Despois de ter a oportunidade de executar o seu código JavaScript no contexto do sitio, o atacante podería redirixir os usuarios ao seu sitio ou organizar a substitución dunha conta privilexiada na interface web cando o administrador do sitio executase o código JavaScript substituído. Ao ter acceso á interface web, o atacante podería lograr a execución do seu código PHP no servidor.
Fonte: opennet.ru