Er is een kwetsbaarheid (CVE-2021-39341) geïdentificeerd in de OptinMonster WordPress add-on, die meer dan een miljoen actieve installaties heeft en wordt gebruikt om pop-upmeldingen en aanbiedingen weer te geven, zodat u uw JavaScript-code op een site kunt plaatsen met behulp van de opgegeven add-on. Het beveiligingslek is opgelost in release 2.6.5. Om de toegang via vastgelegde sleutels na installatie van de update te blokkeren, hebben de OptinMonster-ontwikkelaars alle eerder gemaakte API-toegangssleutels ingetrokken en beperkingen toegevoegd aan het gebruik van WordPress-sitesleutels om OptinMonster-campagnes aan te passen.
Het probleem werd veroorzaakt door de aanwezigheid van de REST-API /wp-json/omapp/v1/support, die toegankelijk was zonder authenticatie - het verzoek werd uitgevoerd zonder extra controles als de Referer-header de string “https://wp” bevatte .app.optinmonster.test” en bij het instellen van het HTTP-verzoektype op “OPTIONS” (overschreven door de HTTP-header “X-HTTP-Method-Override”). Onder de gegevens die werden geretourneerd bij toegang tot de betreffende REST-API, bevond zich een toegangssleutel waarmee u verzoeken naar alle REST-API-handlers kunt sturen.
Met behulp van de verkregen sleutel kon de aanvaller wijzigingen aanbrengen in alle pop-upblokken die werden weergegeven met OptinMonster, inclusief het organiseren van de uitvoering van zijn JavaScript-code. Nadat hij de kans had gekregen om zijn JavaScript-code in de context van de site uit te voeren, kon de aanvaller gebruikers naar zijn site omleiden of de vervanging van een bevoorrecht account in de webinterface organiseren wanneer de sitebeheerder de vervangende JavaScript-code uitvoerde. Omdat de aanvaller toegang had tot de webinterface, kon hij zijn PHP-code op de server uitvoeren.
Bron: opennet.ru