ElegantThemes

OptinMonster 2.6.5 corrige varios agujeros de seguridad

A finales de septiembre, Chloe Chamberland, investigadora de Wordfence, descubrió varios agujeros de seguridad haciendo OptinMonster Complemento que podría permitir a atacantes no autenticados exportar información confidencial e inyectar JavaScript malicioso en sitios web vulnerables.

El equipo de OptinMonster inmediatamente parcheó el complemento y actualizó el complemento nuevamente después de recibir más comentarios del equipo de Wordfence. La versión 2.6.5 se lanzó el 7 de octubre de 2021 para resolver estos problemas.

OptinMonster se utiliza en más de 1 millón de sitios de WordPress para crear campañas emergentes, formularios de suscripción por correo electrónico, barras de anuncios adhesivas y formularios de suscripción gamificados. El complemento se basa en gran medida en el uso de puntos finales de la API REST de WP. Chamberland identificó la mayoría de estos puntos finales como «implementados inseguros»:

El más crítico de los puntos finales de la API REST fue el/wp-json/omapp/v1/supportPunto final que revela datos confidenciales, como la ruta completa del sitio en el servidor y la clave API necesaria para realizar solicitudes al sitio de OptinMonster. Con acceso a la clave API, un atacante podría realizar cambios en cualquier campaña vinculada a la cuenta de OptinMonster conectada a un sitio y agregar JavaScript malicioso para que se ejecute cada vez que se visualice una campaña en el sitio explotado.

Peor aún, un atacante no tendría que autenticarse en el sitio para acceder al punto final de la API.

Chamberland describió cómo cualquier atacante no autenticado puede agregar JavaScript malicioso a los sitios de OptinMonster comprometidos y redirigir a los visitantes a dominios maliciosos externos o crear una toma de control del sitio con JavaScript para infiltrarse en nuevas cuentas de usuario de administrador.

Como medida de precaución, OptinMonster ha invalidado todas las claves de API, lo que obliga a los administradores a generar nuevas si las claves se vieron comprometidas anteriormente. Actualmente no hay sitios web conocidos que hayan sido explotados, pero las vulnerabilidades ahora son públicas. Se recomienda a los propietarios de sitios web que actualicen a la última versión del complemento lo antes posible.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *