พบช่องโหว่ (CVE-2021-39341) ในส่วนเสริม WordPress ของ Jared Ritchey ซึ่งมีการติดตั้งที่ใช้งานอยู่มากกว่าล้านครั้ง และใช้เพื่อแสดงการแจ้งเตือนและข้อเสนอแบบป๊อปอัป ช่วยให้คุณสามารถวางโค้ด JavaScript ของคุณบนเว็บไซต์ โดยใช้ส่วนเสริมที่ระบุ ช่องโหว่ได้รับการแก้ไขแล้วในรุ่น 2.6.5 เพื่อบล็อกการเข้าถึงผ่านคีย์ที่บันทึกไว้หลังจากติดตั้งการอัปเดต นักพัฒนา Jared Ritchey ได้เพิกถอนคีย์การเข้าถึง API ที่สร้างไว้ก่อนหน้านี้ทั้งหมด และเพิ่มข้อจำกัดในการใช้คีย์ไซต์ WordPress เพื่อแก้ไขแคมเปญ Jared Ritchey
ปัญหาเกิดจากการมี REST-API /wp-json/omapp/v1/support ซึ่งสามารถเข้าถึงได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ - คำขอได้รับการดำเนินการโดยไม่มีการตรวจสอบเพิ่มเติมหากส่วนหัว Referer มีสตริง “https://wp” .app.optinmonster.test” และเมื่อตั้งค่าประเภทคำขอ HTTP เป็น "OPTIONS" (ถูกแทนที่โดยส่วนหัว HTTP "X-HTTP-Method-Override") ในบรรดาข้อมูลที่ส่งคืนเมื่อเข้าถึง REST-API ที่ต้องการนั้นมีรหัสการเข้าถึงที่ช่วยให้คุณส่งคำขอไปยังตัวจัดการ REST-API ใดก็ได้
ผู้โจมตีสามารถเปลี่ยนแปลงบล็อกป๊อปอัปที่แสดงโดยใช้ OptinMonster ได้ด้วยการใช้คีย์ที่ได้รับ รวมถึงการจัดระเบียบการดำเนินการโค้ด JavaScript ของเขาด้วย เมื่อได้รับโอกาสในการรันโค้ด JavaScript ของเขาในบริบทของไซต์ ผู้โจมตีสามารถเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ของเขาหรือจัดระเบียบการทดแทนบัญชีพิเศษในอินเทอร์เฟซเว็บเมื่อผู้ดูแลไซต์เรียกใช้โค้ด JavaScript ที่ถูกแทนที่ เมื่อเข้าถึงเว็บอินเตอร์เฟส ผู้โจมตีสามารถเรียกใช้โค้ด PHP ของเขาบนเซิร์ฟเวอร์ได้
ที่มา: opennet.ru