В WordPressOptinMonster-tillägget, som har över en miljon aktiva installationer och används för att visa popup-meddelanden och erbjudanden, upptäcktes ha en sårbarhet (CVE-2021-39341) som möjliggör inbäddning av anpassad JavaScript-kod på en webbplats med hjälp av tillägget. Sårbarheten åtgärdades i version 2.6.5. För att blockera åtkomst via kapade nycklar efter installationen av uppdateringen återkallade OptinMonster-utvecklarna alla tidigare skapade API-åtkomstnycklar och lade till begränsningar för nyckelanvändning. WordPress-webbplatser för att ändra OptinMonster-kampanjer.
Problemet orsakades av närvaron av REST-API /wp-json/omapp/v1/support, som kunde nås utan autentisering - begäran utfördes utan ytterligare kontroller om referenshuvudet innehöll strängen "https://wp .app.optinmonster.test” och när HTTP-förfrågningstypen ställs in på "OPTIONS" (åtsidosatt av HTTP-huvudet "X-HTTP-Method-Override"). Bland de data som returnerades vid åtkomst till REST-API i fråga fanns en åtkomstnyckel som gör att du kan skicka förfrågningar till alla REST-API-hanterare.
Med hjälp av den erhållna nyckeln kunde angriparen modifiera alla popup-block som visades av OptinMonster, inklusive att köra sin egen JavaScript-kod. Genom att köra sin JavaScript-kod inom webbplatsens kontext kunde angriparen omdirigera användare till sin egen webbplats eller ersätta ett privilegierat konto i webbgränssnittet när webbplatsadministratören körde den ersatta JavaScript-koden. Med åtkomst till webbgränssnittet kunde angriparen köra sin egen PHP-kod. server.
Källa: opennet.ru
