פגיעות המאפשרת החלפה של קוד JavaScript באמצעות התוסף OptinMonster WordPress

זוהתה פגיעות (CVE-2021-39341) בתוסף OptinMonster WordPress, בעל יותר ממיליון התקנות פעילות ומשמש להצגת התראות והצעות קופצות, המאפשרות לך למקם את קוד ה-JavaScript שלך באתר באמצעות התוסף שצוין. הפגיעות תוקנה במהדורה 2.6.5. כדי לחסום גישה דרך מפתחות שנתפסו לאחר התקנת העדכון, מפתחי OptinMonster ביטלו את כל מפתחות הגישה של API שנוצרו בעבר והוסיפו הגבלות על השימוש במפתחות אתר וורדפרס לשינוי מסעות פרסום של OptinMonster.

הבעיה נגרמה על ידי נוכחות REST-API /wp-json/omapp/v1/support, שאליו ניתן היה לגשת ללא אימות - הבקשה בוצעה ללא בדיקות נוספות אם הכותרת Referer מכילה את המחרוזת "https://wp .app.optinmonster.test" וכאשר מגדירים את סוג בקשת ה-HTTP ל-"OPTIONS" (נעקף על ידי כותרת ה-HTTP "X-HTTP-Method-Override"). בין הנתונים שהוחזרו בעת הגישה ל- REST-API המדובר, היה מפתח גישה המאפשר לשלוח בקשות לכל מטפל REST-API.

באמצעות המפתח שהושג, התוקף יכול לבצע שינויים בכל בלוקים קופצים המוצגים באמצעות OptinMonster, כולל ארגון ביצוע קוד ה-JavaScript שלו. לאחר שזכה בהזדמנות להפעיל את קוד ה-JavaScript שלו בהקשר של האתר, התוקף יכול להפנות משתמשים לאתר שלו או לארגן החלפה של חשבון מיוחס בממשק האינטרנט כאשר מנהל האתר הפעיל את קוד ה-JavaScript החלופי. לאחר גישה לממשק האינטרנט, התוקף יכול להשיג ביצוע של קוד ה-PHP שלו בשרת.

מקור: OpenNet.ru