Ошибка плагина WordPress затрагивает 1 млн сайтов, допуская вредоносные перенаправления

Плагин OptinMonster подвержен серьезной уязвимости, которая позволяет неавторизованный доступ к API и раскрытие конфиденциальной информации примерно на миллионе сайтов WordPress.

Ошибка, отслеживаемая как CVE-2021-39341, была обнаружена исследователем Хлоей Чемберленд 28 сентября 2021 года, а исправление станет доступно 7 октября 2021 года. Всем пользователям плагина OptinMonster рекомендуется обновить его до версии 2.6.5 или более поздней, поскольку затронуты все более ранние версии.

OptinMonster – один из самых популярных плагинов WordPress, используемых для создания красивых форм подписки. Как объясняет Чемберленд в своем отчете о раскрытии уязвимостей, мощность OptinMonster зависит от конечных точек API, которые обеспечивают бесшовную интеграцию и упрощенный процесс проектирования.

Однако реализация этих конечных точек не всегда безопасна, и наиболее важный пример касается конечной точки ‘/ wp-json / omapp / v1 / support’. Эта конечная точка может раскрывать такие данные, как полный путь к сайту на сервере, ключи API, используемые для запросов на сайте, и многое другое.

Злоумышленник, владеющий ключом API, может внести изменения в учетные записи OptinMonster или даже разместить вредоносные фрагменты кода JavaScript на сайте. Сайт будет выполнять этот код каждый раз, когда посетитель активирует элемент OptinMonster без чьего-либо ведома. Что еще хуже, злоумышленнику даже не пришлось бы проходить аутентификацию на целевом сайте для доступа к конечной точке API, поскольку HTTP-запрос обходил бы проверки безопасности при определенных, легко выполняемых условиях.