OptinMonster 2.6.5修补了多个安全漏洞

OptinMonster 2.6.5修补了多个安全漏洞插图

9月下旬,Wordfence的研究员Chloe Chamberland发现了OptinMonster插件的多个安全漏洞,这些漏洞可能允许未经认证的攻击者导出敏感信息,并将恶意的JavaScript注入有漏洞的网站。

OptinMonster团队及时修补了该插件,并在Wordfence团队提供更多反馈后再次更新该插件。2021年10月7日发布了2.6.5版本,以解决这些问题。

OptinMonster被用于100多万个WordPress网站,用于创建弹出式活动、电子邮件订阅表单、粘性公告栏和游戏化的旋转选择表单。该插件在很大程度上依赖于WP REST API端点的使用。Chamberland认为这些端点中的大多数是 “不安全的实施”:”

REST-API端点中最关键的是/wp-json/omapp/v1/support端点,它披露了网站在服务器上的完整路径等敏感数据,以及在OptinMonster网站上提出请求所需的API密钥。通过访问API密钥,攻击者可以对与网站连接的OptinMonster账户相关的任何活动进行修改,并添加恶意的JavaScript,在被利用的网站上显示活动时执行。

更糟糕的是,攻击者不需要认证网站就可以访问API端点。

Chamberland描述了任何未经认证的攻击者如何将恶意的JavaScript添加到易受攻击的OptinMonster网站,并将访问者重定向到外部恶意域,或利用JavaScript注入新的管理用户账户来创造接管网站的机会。

作为预防措施,OptinMonster已经使所有的API密钥失效,迫使管理员生成新的密钥,以防止任何密钥先前被泄露。目前还没有已知的网站被利用,但这些漏洞现在是公开的。建议网站所有者尽快更新到该插件的最新版本。

 收藏 (0) 更新不易,打赏吧

您可以选择一种方式赞助本站

支付宝扫一扫赞助

微信钱包扫描赞助

除特别注明外,本站所有文章均基于CC-BY-NC-SA 4.0原创,转载请注明出处。
文章名称:《OptinMonster 2.6.5修补了多个安全漏洞》
文章链接:https://www.banzhuti.com/optinmonster-2-6-5-patches-multiple-security-vulnerabilities.html
分享到: 生成海报
版权免责声明

① 本站提供的资源(插件或主题)均为网上搜集,如有涉及或侵害到您的版权请立即通知我们。
② 本站所有下载文件,仅用作学习研究使用,请下载后24小时内删除,支持正版,勿用作商业用途。
③ 因代码可变性,不保证兼容所有浏览器、不保证兼容所有版本的WP、不保证兼容您安装的其他插件。
④ 本站保证所提供资源(插件或主题)的完整性,但不含授权许可、帮助文档、XML文件、PSD、后续升级等。
⑤ 由本站提供的资源对您的网站或计算机造成严重后果的本站概不负责。
⑥ 使用该资源(插件或主题)需要用户有一定代码基础知识!另本站提供汉化使用安装教程,仅供参考。
⑦ 有时可能会遇到部分字段无法汉化,同时请保留作者汉化宣传信息,谢谢!
⑧ 本站资源售价只是赞助和汉化辛苦费,收取费用仅维持本站的日常运营所需。
⑨ 如果喜欢本站资源,欢迎捐助本站开通会员享受优惠折扣,谢谢支持!
⑩ 如果网盘地址失效,请在相应资源页面下留言,我们会尽快修复下载地址。

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

WordPress主题 插件 建站 汉化

定制服务联系我们
切换注册

登录

点击按钮进行验证

忘记密码

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活