Athari ya kuathiriwa (CVE-2021-39341) imetambuliwa katika programu jalizi ya OptinMonster WordPress, ambayo ina usakinishaji amilifu zaidi ya milioni moja na inatumika kuonyesha arifa na matoleo ibukizi, kukuruhusu kuweka msimbo wako wa JavaScript kwenye tovuti. kwa kutumia programu-jalizi maalum. Athari ya kuathiriwa ilirekebishwa katika toleo la 2.6.5. Ili kuzuia ufikiaji kupitia funguo zilizonaswa baada ya kusakinisha sasisho, wasanidi programu wa OptinMonster walibatilisha funguo zote za ufikiaji za API zilizoundwa hapo awali na kuongeza vikwazo kwenye matumizi ya funguo za tovuti za WordPress ili kurekebisha kampeni za OptinMonster.
Shida ilisababishwa na uwepo wa REST-API /wp-json/omapp/v1/support, ambayo inaweza kupatikana bila uthibitishaji - ombi lilitekelezwa bila ukaguzi wa ziada ikiwa kichwa cha Mrejeleo kilikuwa na kamba "https://wp .app.optinmonster.testβ na unapoweka aina ya ombi la HTTP kuwa "OPTIONS" (iliyobatilishwa na kichwa cha HTTP "X-HTTP-Method-Override"). Miongoni mwa data iliyorejeshwa wakati wa kufikia REST-API inayohusika, kulikuwa na ufunguo wa ufikiaji unaokuruhusu kutuma maombi kwa vidhibiti vyovyote vya REST-API.
Kwa kutumia ufunguo uliopatikana, mshambuliaji anaweza kufanya mabadiliko kwa vizuizi vyovyote ibukizi vinavyoonyeshwa kwa kutumia OptinMonster, ikiwa ni pamoja na kupanga utekelezaji wa msimbo wake wa JavaScript. Baada ya kupata fursa ya kutekeleza msimbo wake wa JavaScript katika muktadha wa tovuti, mshambuliaji anaweza kuelekeza watumiaji kwenye tovuti yake au kupanga uingizwaji wa akaunti maalum katika kiolesura cha wavuti wakati msimamizi wa tovuti alipotekeleza msimbo wa JavaScript uliobadilishwa. Kwa kuwa na ufikiaji wa kiolesura cha wavuti, mshambuliaji anaweza kufikia utekelezaji wa msimbo wake wa PHP kwenye seva.
Chanzo: opennet.ru