Uma vulnerabilidade (CVE-2021-39341) foi identificada no complemento OptinMonster WordPress, que tem mais de um milhão de instalações ativas e é usado para exibir notificações e ofertas pop-up, permitindo que você coloque seu código JavaScript em um site usando o complemento especificado. A vulnerabilidade foi corrigida na versão 2.6.5. Para bloquear o acesso por meio de chaves capturadas após a instalação da atualização, os desenvolvedores do OptinMonster revogaram todas as chaves de acesso da API criadas anteriormente e adicionaram restrições ao uso de chaves do site WordPress para modificar campanhas do OptinMonster.
O problema foi causado pela presença da REST-API /wp-json/omapp/v1/support, que poderia ser acessada sem autenticação - a solicitação foi executada sem verificações adicionais se o cabeçalho Referer continha a string “https://wp .app.optinmonster.test” e ao definir o tipo de solicitação HTTP como “OPTIONS” (substituído pelo cabeçalho HTTP “X-HTTP-Method-Override”). Dentre os dados retornados ao acessar a API REST em questão, havia uma chave de acesso que permite enviar solicitações a qualquer manipulador da API REST.
Usando a chave obtida, o invasor pode fazer alterações em quaisquer blocos pop-up exibidos usando o OptinMonster, incluindo organizar a execução de seu código JavaScript. Tendo obtido a oportunidade de executar seu código JavaScript no contexto do site, o invasor poderia redirecionar os usuários para seu site ou organizar a substituição de uma conta privilegiada na interface da web quando o administrador do site executasse o código JavaScript substituído. Tendo acesso à interface web, o invasor pode executar seu código PHP no servidor.
Fonte: opennet.ru