È stata identificata una vulnerabilità (CVE-2021-39341) nel componente aggiuntivo OptinMonster WordPress, che ha più di un milione di installazioni attive e viene utilizzato per visualizzare notifiche e offerte pop-up, consentendo di inserire il codice JavaScript su un sito utilizzando il componente aggiuntivo specificato. La vulnerabilità è stata risolta nella versione 2.6.5. Per bloccare l'accesso tramite chiavi acquisite dopo l'installazione dell'aggiornamento, gli sviluppatori di OptinMonster hanno revocato tutte le chiavi di accesso API create in precedenza e hanno aggiunto restrizioni sull'uso delle chiavi del sito WordPress per modificare le campagne OptinMonster.
Il problema era causato dalla presenza della REST-API /wp-json/omapp/v1/support, alla quale era possibile accedere senza autenticazione: la richiesta veniva eseguita senza ulteriori controlli se l'intestazione Referer conteneva la stringa “https://wp .app.optinmonster.test" e quando si imposta il tipo di richiesta HTTP su "OPTIONS" (sostituito dall'intestazione HTTP "X-HTTP-Method-Override"). Tra i dati restituiti durante l'accesso all'API REST in questione, era presente una chiave di accesso che consente di inviare richieste a eventuali gestori dell'API REST.
Utilizzando la chiave ottenuta, l'aggressore potrebbe apportare modifiche a qualsiasi blocco popup visualizzato utilizzando OptinMonster, inclusa l'organizzazione dell'esecuzione del suo codice JavaScript. Avendo avuto la possibilità di eseguire il proprio codice JavaScript nel contesto della pagina, l'aggressore potrebbe reindirizzare gli utenti al suo sito o organizzare la sostituzione di un account privilegiato nell'interfaccia web quando l'amministratore della pagina eseguiva il codice JavaScript sostituito. Avendo accesso all'interfaccia web, l'aggressore potrebbe riuscire ad eseguire il suo codice PHP sul server.
Fonte: opennet.ru