OptinMonster 2.6.5: security update

OptinMonster 2.6.5

Eind september ontdekte Wordfence onderzoeker Chloe Chamberland meerdere kwetsbaarheden in de OptinMonster plugin. Nadat het OptinMonster team door Wordfence op de hoogte was gebracht van de kwetsbaarheden, werd er op 7 oktober een security update met patches uitgerold: OptinMonster 2.6.5. 

OptinMonster 2.6.5

OptinMonster is een populaire WordPress plugin die op meer dan 1 miljoen sites wordt gebruikt voor het creëren van popups, nieuwsbrief opt-in formulieren, sticky bars en gamification in WordPress. De plugin zit goed in elkaar maar is wel sterk afhankelijk van WP REST API endpoints. Volgens Chamberland waren een aantal van deze endpoints op onveilige wijze geïmplementeerd. Hierdoor zou het in theorie voor iedereen mogelijk zijn om er toegang tot te krijgen. Dit soort kwetsbaarheden stellen niet-geautoriseerde aanvallers in staat om gevoelige informatie te exporteren en JavaScript te injecteren. Op die manier kunnen bezoekers naar externe malafide websites worden doorgestuurd. Er zou tevens een risico op volledige website overname bestaan.

Zo snel mogelijk updaten

Naast het uitrollen van de security update heeft het OptinMonster team aanvullende voorzorgsmaatregelen getroffen door alle API keys ongeldig te maken. Hierdoor zijn admin gebruikers gedwongen om nieuwe API keys te genereren, voor het geval er van de oude al misbruik is gemaakt. Er zijn op dit moment nog geen meldingen bekend over misbruik van de kwetsbaarheden. Maar omdat de kwetsbaarheden nu openbaar zijn gemaakt, krijgen gebruikers van de plugin die niet recentelijk geüpdatet hebben, het advies om onmiddellijk OptinMonster 2.6.5 te installeren.

Geef een antwoord