OptinMonster 2.6.5 修复多个安全漏洞

9 月下旬，Wordfence 的研究员 Chloe Chamberland 在 OptinMonster 插件中发现了多个安全漏洞，这些漏洞可能允许未经身份验证的攻击者导出敏感信息并将恶意 JavaScript 注入易受攻击的站点.

OptinMonster 团队及时修补插件并在 Wordfence 团队提供更多反馈后再次更新插件.2021 年 10 月 7 日发布了 2.6.5 版，以解决这些问题.

OptinMonster 在超过 100 万个 WordPress 网站上被用于创建弹出式广告活动、电子邮件订阅表单、粘性公告栏和游戏化的旋转轮选择加入表单.该插件严重依赖 WP REST API 端点的使用.Chamberland 将这些端点中的大多数确定为"不安全实施":

REST-API 端点中最关键的是 /wp-json/omapp/v1/support 端点，它披露了敏感数据，例如站点在服务器上的完整路径，以及使用在 OptinMonster 站点上发出请求所需的 API 密钥.通过访问 API 密钥，攻击者可以更改与网站连接的 OptinMonster 帐户相关联的任何活动，并添加恶意 JavaScript，只要活动在被利用的网站上显示，就会执行该活动.

更糟糕的是，攻击者无需通过站点身份验证即可访问 API 端点

Chamberland 描述了任何未经身份验证的攻击者如何向易受攻击的 OptinMonster 站点添加恶意 JavaScript 并将访问者重定向到外部恶意域，或使用 JavaScript 为站点接管创造机会以注入新的管理员用户帐户.

作为预防措施，OptinMonster 已使所有 API 密钥失效，从而迫使管理员生成新的密钥，以防任何先前已泄露的密钥.目前还没有已知的网站被利用，但这些漏洞现已公开.建议网站所有者尽快更新到最新版本的插件.