vulnerabilitas (CVE-2021-39341) in OptinMonster WordPress Add-on notata est, quae plus quam decies centena milia institutionum activarum habet et usus est ad pop-up notificationes et offert, permittens te in locum tuum JavaScript codicem ponere. per certa addendi supra. vulnerabilitas emissio 2.6.5. Ad accessum obstruendam per claves captas cum renovatio inaugurata, OptinMonster tincidunt revocaverunt omnes antea API accessum clavium creaverunt et restrictiones additae in usu clavium situ WordPress ad expeditiones OptinMonster mutandas.
Problema causatum est praesentia REST-API /wp-json/omapp/v1/supportum, quod sine authenticatione accedere posset - petitio sine additamentis exsecuta est, si Relator caput chordae "https://wp continebat. .app.optinmmonster.test" et cum HTTP postulationis genus ad "OPTIONS" (optiones HTTP caput "X-HTTP-Method-Override"). Inter notitias redditas cum accessus REST-API de quo agitur, clavis accessus erat qui petitiones tuas ad aliquem REST-API tracto mittere permittit.
Clavem adeptus, oppugnator mutationes facere potuit omnibus caudices pop-upinis utens OptinMonster exhibens, incluso JavaScript codice exsecutioni suae ordinando. Occasione potitus ut JavaScript codicem suum exsequi in contextu situs, oppugnator utentes ad locum suum redirigere potuit vel substitutionem praecipui rationis in interreti interreti conectere, cum locus administratoris codicem JavaScript substitutum exsecutus est. Cum accessus ad interretialem interretialis, oppugnator exsequendum PHP codicem suum in calculonis assequi potuit.
Source: opennet.ru