Kerentanan (CVE-2021-39341) telah diidentifikasi di add-on OptinMonster WordPress, yang memiliki lebih dari satu juta instalasi aktif dan digunakan untuk menampilkan pemberitahuan dan penawaran pop-up, memungkinkan Anda menempatkan kode JavaScript di situs menggunakan add-on yang ditentukan. Kerentanan telah diperbaiki pada rilis 2.6.5. Untuk memblokir akses melalui kunci yang diambil setelah menginstal pembaruan, pengembang OptinMonster mencabut semua kunci akses API yang dibuat sebelumnya dan menambahkan pembatasan penggunaan kunci situs WordPress untuk memodifikasi kampanye OptinMonster.
Masalah ini disebabkan oleh adanya REST-API /wp-json/omapp/v1/support, yang dapat diakses tanpa otentikasi - permintaan dijalankan tanpa pemeriksaan tambahan jika header Referer berisi string βhttps://wp .app.optinmonster.testβ dan saat menyetel jenis permintaan HTTP ke "OPTIONS" (diganti dengan header HTTP "X-HTTP-Method-Override"). Di antara data yang dikembalikan saat mengakses REST-API yang dimaksud, terdapat kunci akses yang memungkinkan Anda mengirim permintaan ke penangan REST-API mana pun.
Dengan menggunakan kunci yang diperoleh, penyerang dapat membuat perubahan pada blok pop-up apa pun yang ditampilkan menggunakan OptinMonster, termasuk mengatur eksekusi kode JavaScript miliknya. Setelah mendapat kesempatan untuk mengeksekusi kode JavaScript-nya dalam konteks situs, penyerang dapat mengarahkan pengguna ke situsnya atau mengatur penggantian akun istimewa di antarmuka web ketika administrator situs mengeksekusi kode JavaScript yang diganti. Memiliki akses ke antarmuka web, penyerang dapat mengeksekusi kode PHP-nya di server.
Sumber: opennet.ru