Natukoy ang isang kahinaan (CVE-2021-39341) sa OptinMonster WordPress add-on, na mayroong higit sa isang milyong aktibong pag-install at ginagamit upang magpakita ng mga pop-up na notification at alok, na nagbibigay-daan sa iyong ilagay ang iyong JavaScript code sa isang site gamit ang tinukoy na add-on. Ang kahinaan ay naayos sa release 2.6.5. Upang harangan ang pag-access sa pamamagitan ng mga nakuhang key pagkatapos i-install ang update, binawi ng mga developer ng OptinMonster ang lahat ng naunang ginawang API access key at nagdagdag ng mga paghihigpit sa paggamit ng mga WordPress site key upang baguhin ang mga OptinMonster campaign.
Ang problema ay sanhi ng pagkakaroon ng REST-API /wp-json/omapp/v1/support, na maaaring ma-access nang walang pagpapatunay - ang kahilingan ay naisakatuparan nang walang karagdagang pagsusuri kung ang Referer header ay naglalaman ng string na “https://wp .app.optinmonster.test” at kapag itinatakda ang uri ng kahilingan sa HTTP sa "OPTIONS" (na-override ng HTTP header na "X-HTTP-Method-Override"). Kabilang sa mga data na ibinalik noong ina-access ang REST-API na pinag-uusapan, mayroong isang access key na nagbibigay-daan sa iyong magpadala ng mga kahilingan sa sinumang tagapangasiwa ng REST-API.
Gamit ang nakuhang key, maaaring gumawa ang attacker ng mga pagbabago sa anumang mga pop-up block na ipinapakita gamit ang OptinMonster, kabilang ang pag-aayos ng pagpapatupad ng kanyang JavaScript code. Sa pagkakaroon ng pagkakataong isagawa ang kanyang JavaScript code sa konteksto ng site, maaaring i-redirect ng attacker ang mga user sa kanyang site o ayusin ang pagpapalit ng isang privileged account sa web interface kapag ang administrator ng site ay nagsagawa ng ipinalit na JavaScript code. Sa pagkakaroon ng access sa web interface, maaaring makamit ng attacker ang pagpapatupad ng kanyang PHP code sa server.
Pinagmulan: opennet.ru