Alla fine di settembre, Chloe Chamberland, ricercatrice di Wordfence, ha scoperto molteplici vulnerabilità di sicurezza nel OptinMonster plug-in, che potrebbe consentire agli aggressori non autenticati di esportare informazioni sensibili e iniettare JavaScript dannoso in siti vulnerabili.

Il team di OptinMonster ha prontamente patchato il plug-in e aggiornato nuovamente il plug-in dopo ulteriori feedback da parte del team di Wordfence. La versione 2.6.5 è stata rilasciata il 7 ottobre 2021 per risolvere questi problemi.

OptinMonster viene utilizzato su oltre 1 milione di siti WordPress per creare campagne popup, moduli di iscrizione via e-mail, barre di annunci adesive e moduli di attivazione ludica. Il plugin si basa molto sull’uso degli endpoint dell’API REST di WP. Chamberland ha identificato la maggior parte di questi endpoint come “implementati in modo non sicuro:”

L’endpoint più critico dell’API REST è stato il /wp-json/omapp/v1/support endpoint, che ha divulgato dati sensibili come il percorso completo del sito sul server, insieme alla chiave API necessaria per effettuare richieste sul sito OptinMonster. Con l’accesso alla chiave API, un utente malintenzionato potrebbe apportare modifiche a qualsiasi campagna associata all’account OptinMonster connesso a un sito e aggiungere JavaScript dannoso che verrebbe eseguito ogni volta che una campagna veniva visualizzata sul sito sfruttato.

Peggio ancora, un utente malintenzionato non ha bisogno di essere autenticato sul sito per accedere all’endpoint API

Chamberland ha descritto come qualsiasi un utente malintenzionato non autenticato potrebbe aggiungere JavaScript dannoso a siti OptinMonster vulnerabili e reindirizzare i visitatori a domini dannosi esterni o creare l’opportunità di acquisizione del sito utilizzando JavaScript per iniettare nuovi account utente amministratore.

Per precauzione, OptinMonster ha invalidato tutte le chiavi API, costringendo gli amministratori a generarne di nuove, nel caso in cui qualche chiave fosse stata precedentemente compromessa. Non ci sono siti noti per essere stati sfruttati in questo momento, ma le vulnerabilità sono ora pubbliche. Si consiglia ai proprietari del sito di aggiornare all’ultima versione del plug-in il prima possibile.