Π WordPressAdditamentum OptinMonster, quod plus quam decies centena milia installationum activarum habet et ad notificationes et oblationes emergentes exhibendas adhibetur, vulnerabilitatem (CVE-2021-39341) habere inventam est quae insertionem codicis JavaScript proprii in situ interretiali utens additamento permittit. Vulnerabilitas in versione 2.6.5 correcta est. Ut accessum per claves interceptas post renovationem institutam impedirent, artifices OptinMonster omnes claves accessus API antea creatas revocaverunt et restrictiones in usu clavium addiderunt. WordPress-situs ad mutandas expeditiones OptinMonster.
Problema causatum est praesentia REST-API /wp-json/omapp/v1/supportum, quod sine authenticatione accedere posset - petitio sine additamentis exsecuta est, si Relator caput chordae "https://wp continebat. .app.optinmmonster.test" et cum HTTP postulationis genus ad "OPTIONS" (optiones HTTP caput "X-HTTP-Method-Override"). Inter notitias redditas cum accessus REST-API de quo agitur, clavis accessus erat qui petitiones tuas ad aliquem REST-API tracto mittere permittit.
Clave obtenta utens, aggressor quaslibet fenestras emergentes a OptinMonster exhibitas modificare poterat, incluso suo codice JavaScript exsequendo. Codice JavaScript suo intra contextum situs exsequendo, aggressor usores ad suum situm dirigere poterat vel rationem privilegiatam in interfacie interretiali substituere cum administrator situs codicem JavaScript substitutum exsequeretur. Cum accessu ad interfaciem interretialem, aggressor suum codicem PHP exsequi poterat. server.
Source: opennet.ru
