Самой серьезной проблемой является некорректная конфигурация технологии CORS, позволяющей сайтам обмениваться ресурсами. Если не вдаваться в подробности, в обычных условиях запущенный на одном домене JavaScript-код может читать данные только с этого домена (так называемое правило ограничения домена). В противном случае вредоносное ПО с одного сайта могло бы с легкостью собирать данные с сайтов, открытых пользователем в других вкладках.
В некоторых случаях сайты имеют право запрашивать данные с других доменов через публичные API, здесь и приходит на помощь CORS. К сожалению, из-за неправильной конфигурации CORS в Bluehost подконтрольный злоумышленникам домен может отправлять запросы легитимному домену. Когда легитимный домен отправит ответ, атакующим откроется доступ к данным.
По словам исследователя, реализованной в Bluehost функции CORS недостает соответствующих фильтров для отсеивания сайтов, которым запрещен доступ к данным. По сути, любой сайт с доменным именем Bluehost (например, my.bluehost.com) разрешает читать с него данные любому другому сайту с доменным именем Bluehost. Злоумышленник может отправить запрос с сайта my.bluehost.com.EVIL.com и Bluehost его примет. Bluehost проверяет только первую строку и не учитывает то, что идет после bluehost.com.