В конце сентября Хлоя Чемберленд, исследователь из Wordfence, обнаружила несколько уязвимостей в плагине OptinMonster , которые могут позволить неаутентифицированным злоумышленникам экспортировать конфиденциальную информацию и внедрять вредоносный JavaScript в уязвимые сайты.
Команда OptinMonster оперативно исправила плагин и снова обновила плагин после получения дополнительных отзывов от команды Wordfence. Версия 2.6.5 была выпущена 7 октября 2021 г. для решения этих проблем.
OptinMonster используется на более чем 1 миллионе сайтов WordPress для создания всплывающих кампаний, форм подписки по электронной почте, прикрепленных панелей объявлений и игровых форм подписки с вращающимся колесом. Плагин в значительной степени полагается на использование конечных точек WP REST API. Чемберленд определил большинство этих конечных точек как «небезопасно реализованные»:
Наиболее важной из конечных точек REST-API была /wp-json/omapp/v1/support конечная точка, которая раскрывала конфиденциальные данные, такие как полный путь к сайту на сервере, а также ключ API, необходимый для выполнения запросов на сайте OptinMonster. Имея доступ к ключу API, злоумышленник может вносить изменения в любую кампанию, связанную с учетной записью OptinMonster, подключенной к сайту, и добавлять вредоносный код JavaScript, который будет выполняться каждый раз, когда кампания отображается на эксплуатируемом сайте.
Что еще хуже, злоумышленнику не нужно было проходить аутентификацию на сайте, чтобы получить доступ к конечной точке API.
Чемберленд описал, как любой неаутентифицированный злоумышленник может добавить вредоносный JavaScript на уязвимые сайты OptinMonster и перенаправить посетителей на внешние вредоносные домены или создать возможность для захвата сайта с помощью JavaScript для внедрения новых учетных записей администраторов.
В качестве меры предосторожности OptinMonster аннулировал все ключи API, вынуждая администраторов создавать новые, если какие-либо ключи были ранее скомпрометированы. В настоящее время нет известных сайтов, которые использовались, но уязвимости теперь общедоступны. Владельцам сайтов рекомендуется как можно скорее обновить плагин до последней версии.
