O se faʻafitauli (CVE-2021-39341) ua faʻaalia i le OptinMonster WordPress add-on, lea e sili atu ma le miliona faʻapipiʻi faʻaogaina ma faʻaaogaina e faʻaalia ai faʻamatalaga pop-up ma ofo, e mafai ai ona e tuʻu lau code JavaScript i luga o se saite. fa'aaoga le fa'aopoopo fa'apitoa. Na faʻamautu le faʻafitauli i le faʻamalolo 2.6.5. Ina ia poloka le avanoa e ala i ki puʻeina pe a uma ona faʻapipiʻi le faʻafouga, na faʻamutaina e le au atinaʻe OptinMonster uma na faia muamua API avanoa ki ma faʻaopoopo faʻatapulaʻa i luga o le faʻaogaina o ki o le upega tafaʻilagi a le WordPress e sui ai le OptinMonster campaigns.
O le faʻafitauli na mafua ona o le i ai o le REST-API /wp-json/omapp/v1/support, lea e mafai ona maua e aunoa ma le faʻamaonia - na faia le talosaga e aunoa ma ni siaki faʻaopoopo pe a fai o le ulutala Referer o loʻo i ai le manoa "https://wp .app.optinmonster.test” ma pe a setiina le ituaiga talosaga HTTP i le "OPTIONS" (e suitulaga e le ulutala HTTP "X-HTTP-Method-Override"). Faatasi ai ma faʻamatalaga na toe faʻafoʻi mai pe a oʻo i le REST-API o loʻo fesiligia, sa i ai se ki avanoa e mafai ai ona e lafoina talosaga i soʻo se REST-API e faʻaaogaina.
I le faʻaaogaina o le ki na maua, e mafai e le tagata osofaʻi ona faia suiga i soʻo se poloka pop-up o loʻo faʻaalia i le OptinMonster, e aofia ai le faʻatulagaina o le faʻatinoina o lana code JavaScript. I le mauaina o le avanoa e faʻatino ai lana JavaScript code i le tulaga o le saite, e mafai e le tagata osofaʻi ona toe faʻafeiloaʻi tagata faʻaoga i lana saite pe faʻatulagaina le suitulaga o se tala faʻapitoa i luga o le upega tafaʻilagi pe a faʻataunuʻu e le pule o le saite le code JavaScript sui. O le i ai o le avanoa i luga o le upega tafaʻilagi, e mafai e le tagata osofaʻi ona ausia le faʻatinoina o lana code PHP i luga o le 'auʻaunaga.
puna: opennet.ru