Kotsi (CVE-2021-39341) e boletsoe ho tlatsetso ea OptinMonster WordPress, e kentsoeng ts'ebetso e fetang milione mme e sebelisoa ho bonts'a litsebiso le lits'ebeletso, e u lumellang ho beha khoutu ea hau ea JavaScript sebakeng sa marang-rang. ho sebelisa keketso e boletsoeng. Kotsi e ile ea lokisoa tokollong ea 2.6.5. Ho thibela phihlello ka linotlolo tse hapiloeng ka mor'a ho kenya ntlafatso, bahlahisi ba OptinMonster ba hlakotse linotlolo tsohle tsa phihlello tsa API tse neng li entsoe pele mme ba eketsa lithibelo mabapi le ts'ebeliso ea linotlolo tsa sebaka sa WordPress ho fetola matšolo a OptinMonster.
Bothata bo bakiloe ke ho ba teng ha REST-API /wp-json/omapp/v1/support, e neng e ka fumaneha ntle le netefatso - kopo e entsoe ntle le licheke tse ling haeba hlooho ea Referer e na le khoele "https://wp .app.optinmonster.test” le ha u seta mofuta oa kopo ea HTTP ho "OPTIONS" (e hlakotsoe ke sehlooho sa HTTP "X-HTTP-Method-Override"). Har'a lintlha tse khutlisitsoeng ha u fihlella REST-API eo ho buuoang ka eona, ho ne ho e-na le senotlolo sa ho fihlella se u lumellang hore u romele likōpo ho bahlokomeli leha e le bafe ba REST-API.
A sebelisa senotlolo se fumanoeng, mohlaseli a ka etsa liphetoho ho li-blocks life kapa life tse hlahang a sebelisa OptinMonster, ho kenyelletsa le ho hlophisa ts'ebetso ea khoutu ea hae ea JavaScript. Ha a se a fumane monyetla oa ho sebelisa khoutu ea hae ea JavaScript ho latela maemo a sebaka sa marang-rang, mohlaseli a ka fetisetsa basebelisi sebakeng sa hae sa marang-rang kapa a hlophisa phetisetso ea ak'haonte e khethehileng sebakeng sa marang-rang ha molaoli oa sebaka a sebelisa khoutu ea JavaScript e kentsoeng sebaka. Kaha o na le phihlello ea sebopeho sa marang-rang, mohlaseli a ka fihlela ts'ebetsong ea khoutu ea hae ea PHP ho seva.
Source: opennet.ru