100万以上のWebサイトにインストールされている「OptinMonster」というWordPressプラグインにセキュリティ上の欠陥が見つかり、攻撃者が脆弱なサイトに悪意のあるコードを注入することが可能であることがわかりました。
本脆弱性はCVE-2021-39341としてトラックされています。
この脆弱性は、WordPressサイト用のWebファイアウォールを提供しているWordfence社が発見したもので、OptinMonster社のプラットフォームをWordPressサイト内に統合するプラグインに影響があります。
これらの脆弱性により、認証されていない攻撃者、つまりサイト訪問者が、機密情報をエクスポートしたり、悪意のあるJavaScriptをWordPressサイトに追加したりすることが可能でした
Wordfence社のセキュリティリサーチャーであるChloe Chamberland氏
今回発表されたテクニカルレポートによるとコーディングの不備に起因するとしています。
すなわち、Chプラグインがインストールされたサイトを介して、コマンドに対してOptinMonster APIのエンドポイントの多くを開放していたと説明しています。
Chamberland氏によると、攻撃者はこれらのAPIエンドポイントを照会し、OptinMonsterのAPIキーを含むサイトの詳細情報を得ることができましたとのことで、攻撃者はこのAPIキーを使って、サイトのOptinMonsterのマーケティングや販売キャンペーンに変更を加えたり、プラグインがサイト訪問者に表示していたポップアップに独自の悪意のあるコードを追加したりすることができたとのことです。
Wordfenceチームが9月下旬にこの問題をOptinMonster社に報告したところ、同社は1日後に一時的なパッチをリリースし、10月7日にはOptinMonster 2.6.5リリースを通じて完全なパッチを提供しているそうです。
さらに、この問題が以前に悪用されたかどうかが不明であるため、OptinMonster社はユーザにすべてのAPIキーを無効にし、新しいキーの生成を推奨しています。
Wordfenceは、100万人以上のユーザーがこの問題の大規模な悪用が始まる前にサイトを更新する時間を確保するため、本問題を公開しました。
Comments