The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость, допускающая подстановку JavaScript-кода через WordPress-плагин OptinMonster

31.10.2021 09:19

В WordPress-дополнении OptinMonster, имеющем более миллиона активных установок и применяемом для организации вывода всплывающих уведомлений и предложений, выявлена уязвимость (CVE-2021-39341), позволяющая разместить свой JavaScript-код на сайте, использующем указанное дополнение. Уязвимость устранена в выпуске 2.6.5. Для блокирования доступа через захваченные ключи после установки обновления разработчики OptinMonster аннулировали все ранее созданные ключи доступа к API и добавили ограничения по использованию ключей WordPress-сайтов для изменения кампаний OptinMonster.

Проблема вызвана наличием REST-API /wp-json/omapp/v1/support, доступ к которому был возможен без аутентификации - запрос выполнялся без дополнительных проверок при наличии в заголовке Referer строки "https://wp.app.optinmonster.test" и при установке типа HTTP-запроса в "OPTIONS" (переопределяется при помощи HTTP-заголовка "X-HTTP-Method-Override"). Среди данных, возвращаемых при обращении к рассматриваемому REST-API, присутствовал ключ доступа, позволяющий отправлять запросы к любым обработчикам REST-API.

При помощи полученного ключа атакующий мог внести изменения в любые всплывающие блоки, показываемые при помощи OptinMonster, в том числе организовать выполнение своего JavaScript-кода. Получив возможность выполнить свой JavaScript-код в контексте сайта атакующий мог перенаправить пользователей на свой сайт или организовать подстановку привилегированной учётной записи в web-интерфейс при выполнении подставленного JavaScript-кода администратором сайта. Имея доступ в web-интерфейс атакующий мог добиться выполнения своего PHP-кода на сервере.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: Уязвимость в WordPress-дополнении Contact Form 7, насчитывающем 5 млн установок
  3. OpenNews: Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP, имеющем 500 тысяч установок
  4. OpenNews: Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок
  5. OpenNews: Релиз системы управления web-контентом WordPress 5.5 с поддержкой автообновления плагинов
  6. OpenNews: Создатели WordPress инвестировали $4.6 млн в компанию, развивающую Matrix-клиент Riot
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56073-wordpress
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 09:25, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Больше всего на свете я ненавижу назойливые окна на сайтах, на которые зашёл в поиске информации с поисковика. Предложение подписаться или чат, любые. Каждый раз проклинаю всех причастных и ухожу навсегда. Неужели это вызывает положительные эмоции у кого-то из посетителей?
     
     
  • 2.12, Аноним (12), 10:28, 31/10/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Это для тупых людей, а таких много, очень много, настолько много, что это можно считать нормой.
     
     
  • 3.30, OpenEcho (?), 12:35, 31/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К великому сожалению, - горькая правда...
    Если бы эта назойливость не работала, ее бы просто никто не производил.
     
     
  • 4.38, Аноним (38), 16:17, 31/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не соглашусь. Офтопик не работает, но ее производят биллиардами.
     
     
  • 5.51, OpenEcho (?), 17:03, 01/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Не соглашусь. Офтопик не работает, но ее производят биллиардами.

    Вы можете не согласится со мной, но если посмотрите на чем делают деньги в гугле и мордакниге, то увидите, что Marketing - это основной источник дохода. Пипл очень ленив, даже искать что-то, что хотят, но проблема в том, что они даже не знают что они хотят, поэтому и работает на ура - "О-о-о, класс, хочу..."

     
  • 5.56, Тот_Самый_Анонимус (?), 10:47, 04/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Работает. Чего бы не хотелось его ненавистникам.
     

  • 1.4, Аноним (4), 09:36, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Миллион установок в мире вордпресса - не так и много. Менее 5% от всех сайтов, использующих WP
     
  • 1.13, Урри (ok), 10:44, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Так это не уязвимость, это обычный бекдор.
     
  • 1.18, Аноним (18), 11:46, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > В WordPress-...

    Как неожиданно!

     
     
  • 2.28, QwertyReg (ok), 12:26, 31/10/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Да действительно, для CMS-ки, которая работает на 40% сайтов в сети, весьма неожиданно находить увизгвимости.
     
     
  • 3.35, Аноним (35), 15:41, 31/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Она же не на расте, значит в топку её. Если бы она была на 100% сайтов и на расте то в ней всё равно бы не было уязвимостей.
     
     
  • 4.40, Аноним (38), 16:21, 31/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не факт. Можно и на С https://www.webtoolkit.eu/wt
     

  • 1.25, YetAnotherOnanym (ok), 11:59, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > REST-API /wp-json/omapp/v1/support, доступ к которому был возможен без аутентификации

    Как это знакомо! "Ща пабыринькому прототип накидаем, основной функционал отработаем, а контроль доступа, интернационализацию, поведение под перегрузкой и всякое такое потом прикрутим", потом - "Всё, прототип работает - можно в прод выкатывать".

     
     
  • 2.29, Аноним (29), 12:34, 31/10/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Как бы 99% современного кода пишется именно таким образом.
     
     
  • 3.32, YetAnotherOnanym (ok), 14:08, 31/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть. Но одно дело сначала реализовать основной функционал, а потом добавить все вспомогательные (но от этого ничуть не менее необходимые) возможности, а другое дело - выкатить побыстрее сырую поделку в прод и на этом успокоиться.
     
  • 2.44, Akteon (?), 18:34, 31/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А кто потом деньги платить будет, когда сразу готовое выставишь ??
     

  • 1.42, Msgod (?), 18:21, 31/10/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +2 +/
     

     ....ответы скрыты (3)

  • 1.43, Akteon (?), 18:32, 31/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    И название у плагина  хорошее, и назначение - соответствует ..
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру