РWordPressShtesa OptinMonster, e cila ka mbi një milion instalime aktive dhe përdoret për të shfaqur njoftime dhe oferta që shfaqen menjëherë, u zbulua se kishte një dobësi (CVE-2021-39341) që lejon ngulitjen e kodit JavaScript të personalizuar në një faqe interneti duke përdorur shtesën. Dobësia u rregullua në versionin 2.6.5. Për të bllokuar aksesin nëpërmjet çelësave të rrëmbyer pas instalimit të përditësimit, zhvilluesit e OptinMonster revokuan të gjithë çelësat e aksesit të API-t të krijuar më parë dhe shtuan kufizime në përdorimin e çelësave. WordPress-faqe për ndryshimin e fushatave të OptinMonster.
Problemi u shkaktua nga prania e REST-API /wp-json/omapp/v1/support, e cila mund tĂ« arrihej pa vĂ«rtetim - kĂ«rkesa u ekzekutua pa kontrolle shtesĂ« nĂ«se kreu i referuesit pĂ«rmbante vargun "https://wp .app.optinmonster.testâ dhe kur vendosni llojin e kĂ«rkesĂ«s HTTP nĂ« "OPTIONS" (tĂ« anashkaluar nga titulli HTTP "X-HTTP-Method-Override"). Midis tĂ« dhĂ«nave tĂ« kthyera kur qaseni nĂ« REST-API nĂ« fjalĂ«, kishte njĂ« çelĂ«s aksesi qĂ« ju lejon tĂ« dĂ«rgoni kĂ«rkesa te çdo mbajtĂ«s REST-API.
Duke përdorur çelësin e marrë, sulmuesi mund të modifikonte çdo bllok pop-up të shfaqur nga OptinMonster, duke përfshirë ekzekutimin e kodit të tij JavaScript. Duke ekzekutuar kodin e tij JavaScript brenda kontekstit të faqes, sulmuesi mund t'i ridrejtonte përdoruesit në faqen e tij ose të zëvendësonte një llogari të privilegjuar në ndërfaqen web kur administratori i faqes ekzekutonte kodin e zëvendësuar JavaScript. Me qasje në ndërfaqen web, sulmuesi mund të ekzekutonte kodin e tij PHP. server.
Burimi: opennet.ru
