O plug-in OptinMonster do WordPress é afetado por uma falha de alta gravidade que permite o acesso não autorizado à API (interface de programação) e a divulgação de informações confidenciais em cerca de um milhão de sites que utilizam o popular sistema de gestão de conteúdo (CMS).
Rastreada como CVE-2021-39341, a falha foi descoberta pela pesquisadora Chloe Chamberland em 28 de setembro, sendo que um patch de correção foi disponibilizado em 7 de outubro. Todos os usuários do plugin OptinMonster são aconselhados a atualizar para a versão 2.6.5 ou posterior, pois todas as versões anteriores são afetadas.
O OptinMonster é um dos plug-ins mais populares do WordPress usado para criar formulários de aceitação que ajudam os proprietários de sites a converter visitantes em assinantes/clientes. É essencialmente um gerador de leads e ferramenta de monetização e, graças à sua facilidade de uso e abundância de recursos, está implantado em aproximadamente 1 milhão de sites.
Como Chloe explica em seu relatório de divulgação de vulnerabilidade, o poder do OptinMonster depende de terminais API que permitem uma integração perfeita e um processo de design simplificado.
No entanto, a implementação desses endpoints nem sempre é segura, e o exemplo mais crítico diz respeito ao endpoint ‘/wp-json/omapp/v1/support’. Este endpoint pode divulgar dados como o caminho completo do site no servidor, chaves de API usadas para solicitações no site e muito mais.
Um invasor com a chave de API pode fazer alterações nas contas OptinMonster ou até mesmo plantar trechos de JavaScript maliciosos no site. O site executaria esse código toda vez que um elemento OptinMonster fosse ativado por um visitante, sem o conhecimento de ninguém.
Veja isso
Falhas graves afetam 100 mil sites usando plugin WordPress
Milhões de sites WordPress estão sendo atacados, por bug em plug-in
Para piorar a situação, o invasor nem mesmo teria que se autenticar no site de destino para acessar o endpoint da API, já que uma solicitação HTTP contornaria as verificações de segurança sob certas condições fáceis de atender.
Embora o caso do endpoint ‘/wp-json/omapp/v1/support’ seja o pior, não é o único endpoint inseguro REST-API vulnerável à exploração. Depois que o relatório da pesquisadora chegou à equipe do OptinMonster, os desenvolvedores do plug-in perceberam que toda a API precisava ser revisada.
Diante disso, o administrador do CMS deve instalar todas as atualizações do OptinMonster que chegarem ao painel do WordPress nas semanas seguintes, visto que provavelmente abordarão falhas de API adicionais. Nesse ínterim, todas as chaves de API que poderiam ter sido roubadas foram invalidadas imediatamente e os proprietários de sites foram forçados a gerar novas chaves.
Este caso destaca que mesmo plugins WordPress amplamente implantados e extremamente populares podem conter várias falhas não descobertas por longos períodos.Se você for proprietário de um site, tente usar o número mínimo de plug-in para cobrir a funcionalidade e usabilidade necessárias e aplique as atualizações do plug-in o mais rápido possível.