Уязвимость, допускающая подстановку JavaScript-кода через WordPress-плагин OptinMonster

31.10.2021 09:19

В WordPress-дополнении OptinMonster, имеющем более миллиона активных установок и применяемом для организации вывода всплывающих уведомлений и предложений, выявлена уязвимость (CVE-2021-39341), позволяющая разместить свой JavaScript-код на сайте, использующем указанное дополнение. Уязвимость устранена в выпуске 2.6.5. Для блокирования доступа через захваченные ключи после установки обновления разработчики OptinMonster аннулировали все ранее созданные ключи доступа к API и добавили ограничения по использованию ключей WordPress-сайтов для изменения кампаний OptinMonster.

Проблема вызвана наличием REST-API /wp-json/omapp/v1/support, доступ к которому был возможен без аутентификации - запрос выполнялся без дополнительных проверок при наличии в заголовке Referer строки "https://wp.app.optinmonster.test" и при установке типа HTTP-запроса в "OPTIONS" (переопределяется при помощи HTTP-заголовка "X-HTTP-Method-Override"). Среди данных, возвращаемых при обращении к рассматриваемому REST-API, присутствовал ключ доступа, позволяющий отправлять запросы к любым обработчикам REST-API.

При помощи полученного ключа атакующий мог внести изменения в любые всплывающие блоки, показываемые при помощи OptinMonster, в том числе организовать выполнение своего JavaScript-кода. Получив возможность выполнить свой JavaScript-код в контексте сайта атакующий мог перенаправить пользователей на свой сайт или организовать подстановку привилегированной учётной записи в web-интерфейс при выполнении подставленного JavaScript-кода администратором сайта. Имея доступ в web-интерфейс атакующий мог добиться выполнения своего PHP-кода на сервере.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/56073-wordpress

Ключевые слова: wordpress

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (23)

1.2, Аноним (2), 09:25, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+13 +/–
Больше всего на свете я ненавижу назойливые окна на сайтах, на которые зашёл в поиске информации с поисковика. Предложение подписаться или чат, любые. Каждый раз проклинаю всех причастных и ухожу навсегда. Неужели это вызывает положительные эмоции у кого-то из посетителей?

2.12, Аноним (12), 10:28, 31/10/2021 [^] [^^] [^^^] [ответить]	+8 +/–
Это для тупых людей, а таких много, очень много, настолько много, что это можно считать нормой.

3.30, OpenEcho (?), 12:35, 31/10/2021 [^] [^^] [^^^] [ответить]	+1 +/–
К великому сожалению, - горькая правда... Если бы эта назойливость не работала, ее бы просто никто не производил.

4.38, Аноним (38), 16:17, 31/10/2021 [^] [^^] [^^^] [ответить]	+/–
Не соглашусь. Офтопик не работает, но ее производят биллиардами.

5.51, OpenEcho (?), 17:03, 01/11/2021 [^] [^^] [^^^] [ответить]	+/–
> Не соглашусь. Офтопик не работает, но ее производят биллиардами. Вы можете не согласится со мной, но если посмотрите на чем делают деньги в гугле и мордакниге, то увидите, что Marketing - это основной источник дохода. Пипл очень ленив, даже искать что-то, что хотят, но проблема в том, что они даже не знают что они хотят, поэтому и работает на ура - "О-о-о, класс, хочу..."

5.56, Тот_Самый_Анонимус (?), 10:47, 04/11/2021 [^] [^^] [^^^] [ответить]	+/–
Работает. Чего бы не хотелось его ненавистникам.

1.4, Аноним (4), 09:36, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Миллион установок в мире вордпресса - не так и много. Менее 5% от всех сайтов, использующих WP

1.13, Урри (ok), 10:44, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Так это не уязвимость, это обычный бекдор.

1.18, Аноним (18), 11:46, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> В WordPress-... Как неожиданно!

2.28, QwertyReg (ok), 12:26, 31/10/2021 [^] [^^] [^^^] [ответить]	–3 +/–
Да действительно, для CMS-ки, которая работает на 40% сайтов в сети, весьма неожиданно находить увизгвимости.

3.35, Аноним (35), 15:41, 31/10/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Она же не на расте, значит в топку её. Если бы она была на 100% сайтов и на расте то в ней всё равно бы не было уязвимостей.

4.40, Аноним (38), 16:21, 31/10/2021 [^] [^^] [^^^] [ответить]	+/–
Не факт. Можно и на С https://www.webtoolkit.eu/wt

1.25, YetAnotherOnanym (ok), 11:59, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
> REST-API /wp-json/omapp/v1/support, доступ к которому был возможен без аутентификации Как это знакомо! "Ща пабыринькому прототип накидаем, основной функционал отработаем, а контроль доступа, интернационализацию, поведение под перегрузкой и всякое такое потом прикрутим", потом - "Всё, прототип работает - можно в прод выкатывать".

2.29, Аноним (29), 12:34, 31/10/2021 [^] [^^] [^^^] [ответить]	+5 +/–
Как бы 99% современного кода пишется именно таким образом.

3.32, YetAnotherOnanym (ok), 14:08, 31/10/2021 [^] [^^] [^^^] [ответить]	+/–
Может быть. Но одно дело сначала реализовать основной функционал, а потом добавить все вспомогательные (но от этого ничуть не менее необходимые) возможности, а другое дело - выкатить побыстрее сырую поделку в прод и на этом успокоиться.

2.44, Akteon (?), 18:34, 31/10/2021 [^] [^^] [^^^] [ответить]	+1 +/–
А кто потом деньги платить будет, когда сразу готовое выставишь ??

1.42, Msgod (?), 18:21, 31/10/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+2 +/–

2.45, Аноним (45), 20:13, 31/10/2021 Скрыто ботом-модератором [к модератору]	+2 +/–

3.47, Аноним (18), 23:58, 31/10/2021 Скрыто ботом-модератором [к модератору]	+/–

2.46, Аноним (18), 23:57, 31/10/2021 Скрыто ботом-модератором [к модератору]	+/–

....ответы скрыты (3)

1.43, Akteon (?), 18:32, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
И название у плагина хорошее, и назначение - соответствует ..

игнорирование участников | лог модерирования

Добавить комментарий

Текст: