OptinMonster WordPress ඇඩෝනය තුළ අවදානමක් (CVE-2021-39341) හඳුනාගෙන ඇත, එය මිලියනයකට වඩා සක්රීය ස්ථාපනයන් ඇති අතර උත්පතන දැනුම්දීම් සහ පිරිනැමීම් සංදර්ශන කිරීමට භාවිතා කරයි, ඔබට ඔබේ JavaScript කේතය අඩවියක තැබීමට ඉඩ සලසයි. නිශ්චිත ඇඩෝනය භාවිතා කරමින්. 2.6.5 නිකුතුවේදී අවදානම නිරාකරණය කර ඇත. යාවත්කාලීන ස්ථාපනය කිරීමෙන් පසු ග්රහණය කරගත් යතුරු හරහා ප්රවේශය අවහිර කිරීම සඳහා, OptinMonster සංවර්ධකයින් විසින් කලින් නිර්මාණය කරන ලද සියලුම API ප්රවේශ යතුරු අවලංගු කර OptinMonster ප්රචාරණයන් වෙනස් කිරීමට WordPress අඩවි යතුරු භාවිතයට සීමා කිරීම් එකතු කරන ලදී.
සත්යාපනයකින් තොරව ප්රවේශ විය හැකි REST-API /wp-json/omapp/v1/support තිබීම නිසා ගැටළුව ඇති විය - යොමුකරු ශීර්ෂයේ “https://wp තන්තුව තිබේ නම් ඉල්ලීම අතිරේක පරීක්ෂාවකින් තොරව ක්රියාත්මක විය. .app.optinmonster.test” සහ HTTP ඉල්ලීම් වර්ගය "OPTIONS" ලෙස සකසන විට (HTTP ශීර්ෂය "X-HTTP-Method-Override" මගින් අභිබවා යයි). ප්රශ්නගත REST-API වෙත ප්රවේශ වන විට ලබා දුන් දත්ත අතර, ඔබට ඕනෑම REST-API හසුරුවන්නකට ඉල්ලීම් යැවීමට ඉඩ සලසන ප්රවේශ යතුරක් තිබුණි.
ලබාගත් යතුර භාවිතා කරමින්, ප්රහාරකයාට ඔහුගේ ජාවාස්ක්රිප්ට් කේතය ක්රියාත්මක කිරීම සංවිධානය කිරීම ඇතුළුව, OptinMonster භාවිතයෙන් ප්රදර්ශනය වන ඕනෑම pop-up blocks වෙත වෙනස්කම් සිදු කළ හැකිය. වෙබ් අඩවියේ සන්දර්භය තුළ ඔහුගේ ජාවාස්ක්රිප්ට් කේතය ක්රියාත්මක කිරීමට අවස්ථාව ලබා ගැනීමෙන්, ප්රහාරකයාට ඔහුගේ වෙබ් අඩවියට පරිශීලකයින් හරවා යැවීමට හෝ අඩවි පරිපාලක විසින් ආදේශ කළ ජාවාස්ක්රිප්ට් කේතය ක්රියාත්මක කළ විට වෙබ් අතුරු මුහුණතේ වරප්රසාදිත ගිණුමක් ආදේශ කිරීම සංවිධානය කිරීමට හැකිය. වෙබ් අතුරු මුහුණතට ප්රවේශය තිබීම, ප්රහාරකයාට සේවාදායකයේ ඔහුගේ PHP කේතය ක්රියාත්මක කිරීමට හැකි වේ.
මූලාශ්රය: opennet.ru