Bug em plug-in do WordPress afeta 1 milhão de sites, permite redirecionamentos maliciosos
O plug-in OptinMonster é afetado por uma falha de alta gravidade que permite o acesso não autorizado à API e a divulgação de informações confidenciais em cerca de um milhão de sites WordPress.
Rastreada como CVE-2021-39341, a falha foi descoberta pela pesquisadora Chloe Chamberland em 28 de setembro de 2021, com um patch sendo disponibilizado em 7 de outubro de 2021.
Todos os usuários do plugin OptinMonster são aconselhados a atualizar para a versão 2.6.5 ou posterior, pois todas as versões anteriores são afetadas.
Problema de API
OptinMonster é um dos plug-ins mais populares do WordPress usado para criar lindos formulários de aceitação que ajudam os proprietários de sites a converter visitantes em assinantes / clientes.
É essencialmente um gerador de leads e ferramenta de monetização e, graças à sua facilidade de uso e abundância de recursos, está implantado em aproximadamente um milhão de sites.
Como Chamberland explica em seu relatório de divulgação de vulnerabilidade , o poder do OptinMonster depende de terminais API que permitem uma integração perfeita e um processo de design simplificado.
No entanto, a implementação desses terminais nem sempre é segura, e o exemplo mais crítico diz respeito ao terminal ‘/wp-json/omapp/v1/support’.
Este endpoint pode divulgar dados como o caminho completo do site no servidor, chaves de API usadas para solicitações no site e muito mais.
Um invasor com a chave de API pode fazer alterações nas contas OptinMonster ou até mesmo plantar trechos de JavaScript maliciosos no site.
O site executaria esse código toda vez que um elemento OptinMonster fosse ativado por um visitante sem o conhecimento de ninguém.
Para piorar as coisas, o invasor nem mesmo teria que se autenticar no site de destino para acessar o endpoint da API, já que uma solicitação HTTP contornaria as verificações de segurança sob certas condições fáceis de atender.
Embora o caso do endpoint ‘/ wp-json / omapp / v1 / support’ seja o pior, não é o único endpoint inseguro REST-API vulnerável à exploração.
Depois que o relatório do pesquisador chegou à equipe OptinMonster, os desenvolvedores do popular plugin WordPress perceberam que toda a API precisava ser revisada.
Como tal, você deve instalar todas as atualizações do OptinMonster que chegarem ao seu painel do WordPress nas semanas seguintes, já que provavelmente abordarão falhas de API adicionais.
Nesse ínterim, todas as chaves de API que poderiam ter sido roubadas foram invalidadas imediatamente e os proprietários de sites foram forçados a gerar novas chaves.
Este caso destaca que mesmo plug-ins WordPress amplamente implantados e extremamente populares podem conter várias falhas não descobertas por longos períodos.
Se você for proprietário de um site, tente usar o número mínimo de plug-ins para cobrir a funcionalidade e usabilidade necessárias e aplique as atualizações do plug-in o mais rápido possível.