OptinMonster WordPress ஆட்-ஆனில் ஒரு பாதிப்பு (CVE-2021-39341) கண்டறியப்பட்டுள்ளது, இது ஒரு மில்லியனுக்கும் அதிகமான செயலில் உள்ள நிறுவல்களைக் கொண்டுள்ளது மற்றும் பாப்-அப் அறிவிப்புகள் மற்றும் சலுகைகளைக் காண்பிக்கப் பயன்படுகிறது, இது உங்கள் ஜாவாஸ்கிரிப்ட் குறியீட்டை தளத்தில் வைக்க அனுமதிக்கிறது. குறிப்பிட்ட செருகு நிரலைப் பயன்படுத்தி. வெளியீடு 2.6.5 இல் பாதிப்பு சரி செய்யப்பட்டது. புதுப்பிப்பை நிறுவிய பின் கைப்பற்றப்பட்ட விசைகள் மூலம் அணுகலைத் தடுக்க, OptinMonster டெவலப்பர்கள் முன்பு உருவாக்கப்பட்ட அனைத்து API அணுகல் விசைகளையும் திரும்பப் பெற்றனர் மற்றும் OptinMonster பிரச்சாரங்களை மாற்றுவதற்கு WordPress தள விசைகளைப் பயன்படுத்துவதற்கான கட்டுப்பாடுகளைச் சேர்த்தனர்.
அங்கீகாரம் இல்லாமல் அணுகக்கூடிய REST-API /wp-json/omapp/v1/support இருப்பதால் சிக்கல் ஏற்பட்டது - பரிந்துரையாளர் தலைப்பில் “https://wp” என்ற சரம் இருந்தால் கோரிக்கை கூடுதல் சரிபார்ப்புகள் இல்லாமல் செயல்படுத்தப்படும். .app.optinmonster.test” மற்றும் HTTP கோரிக்கை வகையை "OPTIONS" என அமைக்கும் போது (HTTP தலைப்பு "X-HTTP-Method-Override" மூலம் மேலெழுதப்பட்டது). கேள்விக்குரிய REST-API ஐ அணுகும்போது வழங்கப்பட்ட தரவுகளில், எந்த REST-API கையாளுபவர்களுக்கும் கோரிக்கைகளை அனுப்ப உங்களை அனுமதிக்கும் அணுகல் விசை உள்ளது.
பெறப்பட்ட விசையைப் பயன்படுத்தி, தாக்குபவர் தனது ஜாவாஸ்கிரிப்ட் குறியீட்டை செயல்படுத்துவதை ஒழுங்கமைப்பது உட்பட OptinMonster ஐப் பயன்படுத்தி காட்டப்படும் எந்த பாப்-அப் தொகுதிகளிலும் மாற்றங்களைச் செய்யலாம். தளத்தின் சூழலில் தனது ஜாவாஸ்கிரிப்ட் குறியீட்டை இயக்குவதற்கான வாய்ப்பைப் பெற்றதால், தாக்குபவர் தனது தளத்திற்கு பயனர்களைத் திருப்பிவிடலாம் அல்லது தள நிர்வாகி மாற்றப்பட்ட ஜாவாஸ்கிரிப்ட் குறியீட்டை இயக்கும்போது வலை இடைமுகத்தில் சலுகை பெற்ற கணக்கை மாற்றுவதை ஒழுங்கமைக்கலாம். இணைய இடைமுகத்தை அணுகுவதன் மூலம், தாக்குபவர் தனது PHP குறியீட்டை சர்வரில் செயல்படுத்த முடியும்.
ஆதாரம்: opennet.ru