Optinmonster heisst ein äusserst beliebtes Plug-in für Wordpress-Webseiten zur Verwaltung von Opt-In-Formularen. Wie jetzt "Bleeping Computer"
meldet, wurde darin ein gravierendes Sicherheitsleck entdeckt, das Angreifern nicht autorisierte API-Zugriffe und die Offenlegung von sensitiven Daten ermöglicht. Betroffen sind alle Optinmonster-Versionen bis und mit 2.6.4.. Entdeckt wurde das Leck von den Machern der Wordpress-Firewall Wordfence. Im betreffenden
Report heisst es, das Problem liege in einer unsicheren Implementierung der REST-API-Endpoints, die nicht autorisierten Angreifern den Zugriff ermöglichen würden.
Die Sicherheitsschwachstelle mit der Kennung CVE-2021-39341 wurde Ende September entdeckt, worauf am 7. Oktober die aktualisierte Plug-in-Version 2.6.5 veröffentlicht wurde. Wie es bei "Bleeping Computer" weiter heisst, wurden bei der Korrektur der Schwachstelle weitere Lecks entdeckt und es wird vermutet, dass ein Grossteil des Codes neu erstellt werden muss. Anwendern wird damit empfohlen auch alle Optinmonster-Updates, die in den kommenden Wochen erscheinen könnten, umgehend einzuspielen.
(rd)