Еще одну уязвимость в WP-плагине выявили исследователи лаборатории Wordfence. В этот раз речь идет про OptinMonster – плагин, применяемый для интеграции на сайты маркетинговых инструментов и систем рассылок.
С помощью OptinMonster можно добавлять на страницы всплывающие окна и красивые формы подписки. Данный плагин пользуется популярностью и имеет более миллиона установок.
Исследователи установили, что в плагине была брешь, через которую неавторизованный пользователь мог получить доступ к API, а затем воспользоваться конфиденциальной информацией, внедрить свой код или совершить любые другие действия. Причем, как сообщает Хакер, уязвимый сайт будет выполнять добавленный код каждый раз, когда посетитель активирует элемент OptinMonster (щелкает на всплывающее уведомление).
Проблема была обнаружена в сентябре этого года, а 7 октября разработчики выпустили исправление. Для этого они аннулировали все ранее созданные ключи доступа к API и добавили ряд ограничений по их применению. Пользователям OptinMonster рекомендовано обновиться до версии 2.6.5 или новее.
Комментарии