Kerentanan (CVE-2021-39341) telah dikenal pasti dalam alat tambah OptinMonster WordPress, yang mempunyai lebih daripada sejuta pemasangan aktif dan digunakan untuk memaparkan pemberitahuan dan tawaran pop timbul, membolehkan anda meletakkan kod JavaScript anda pada tapak. menggunakan alat tambah yang ditentukan. Kerentanan telah diperbaiki dalam keluaran 2.6.5. Untuk menyekat akses melalui kunci yang ditangkap selepas memasang kemas kini, pembangun OptinMonster membatalkan semua kunci akses API yang dibuat sebelum ini dan menambah sekatan ke atas penggunaan kunci tapak WordPress untuk mengubah suai kempen OptinMonster.
Masalahnya disebabkan oleh kehadiran REST-API /wp-json/omapp/v1/support, yang boleh diakses tanpa pengesahan - permintaan itu dilaksanakan tanpa semakan tambahan jika pengepala Perujuk mengandungi rentetan βhttps://wp .app.optinmonster.testβ dan apabila menetapkan jenis permintaan HTTP kepada "OPTIONS" (ditindih oleh pengepala HTTP "X-HTTP-Method-Override"). Antara data yang dikembalikan semasa mengakses REST-API yang dimaksudkan, terdapat kunci akses yang membolehkan anda menghantar permintaan kepada mana-mana pengendali REST-API.
Menggunakan kunci yang diperoleh, penyerang boleh membuat perubahan pada mana-mana blok timbul yang dipaparkan menggunakan OptinMonster, termasuk mengatur pelaksanaan kod JavaScriptnya. Setelah mendapat peluang untuk melaksanakan kod JavaScriptnya dalam konteks tapak, penyerang boleh mengubah hala pengguna ke tapaknya atau mengatur penggantian akaun istimewa dalam antara muka web apabila pentadbir tapak melaksanakan kod JavaScript yang diganti. Mempunyai akses kepada antara muka web, penyerang boleh mencapai pelaksanaan kod PHPnya pada pelayan.
Sumber: opennet.ru