Le plugin OptinMonster est affecté par une faille (CVE-2021-39341) de haute gravité qui permet un accès non autorisé à l'API et la divulgation d'informations sensibles sur environ un million de sites WordPress.

OptinMonster est l'un des plugins WordPress les plus populaires, utilisé pour créer et personnaliser des formulaires opt-in qui aident les propriétaires de sites d’augmenter les abonnés/clients.

Comme l'explique Mme Chamberland dans son rapport de divulgation de vulnérabilité, la puissance d'OptinMonster repose sur des points de terminaison API qui permettent une intégration transparente et un processus de conception simplifié.

Cependant, l'implémentation de ces points de terminaison n'est pas toujours sécurisée, et l'exemple le plus critique concerne le point de terminaison '/wp-json/omapp/v1/support' qui peut divulguer des données telles que le chemin complet du site sur le serveur, les clés API utilisées pour les requêtes sur le site, etc.

Un attaquant détenant la clé API pourrait effectuer des modifications sur les comptes OptinMonster ou même implanter des extraits JavaScript malveillants sur le site.

Ce cas montre que même les plugins WordPress largement déployés et extrêmement populaires peuvent présenter de multiples failles non découvertes pendant de longues périodes.

Il est conseillé à tous les utilisateurs du plugin OptinMonster de passer à la version 2.6.5 ou ultérieure, car toutes les versions antérieures sont concernées.

De plus, il est recommandé aux propriétaires des sites d’utiliser un nombre minimum de plugins pour couvrir les fonctionnalités nécessaires et d’appliquer les mises à jour des plugins dès que possible.