admin 
Buvo paskelbtas įspėjimas dėl kritinio pažeidžiamumo, įvertinto 9,8/10 CleanTalk Antispam WordPress papildinyje, įdiegtame daugiau nei 200 000 svetainių. Dėl pažeidžiamumo neautentifikuoti užpuolikai gali įdiegti pažeidžiamus papildinius, kurie gali būti naudojami nuotoliniam kodo vykdymo atakoms pradėti.
CleanTalk Antispam įskiepis
„CleanTalk Antispam“ papildinys yra prenumerata pagrįsta programinė įranga kaip paslauga, apsauganti svetaines nuo neautentiškų vartotojo veiksmų, pvz., šlamšto prenumeratos, registracijų, formų el. laiškų, taip pat ugniasienė, skirta blokuoti blogus robotus.
Kadangi tai prenumerata pagrįstas papildinys, jis remiasi galiojančia API, kad pasiektų „CleanTalk“ serverius, ir būtent šioje papildinio dalyje buvo aptiktas trūkumas, dėl kurio atsirado pažeidžiamumas.
„CleanTalk“ papildinio pažeidžiamumas CVE-2026-1490
Įskiepyje yra „WordPress“ funkcija, kuri tikrina, ar galiojantis API raktas naudojamas susisiekti su „CleanTalk“ serveriais. „WordPress“ funkcija yra PHP kodas, kuris atlieka konkrečią užduotį.
Šiuo konkrečiu atveju, jei papildinys negali patvirtinti ryšio su CleanTalk serveriais dėl netinkamo API rakto, jis pasikliauja funkcija checkWithoutToken, kad patikrintų „patikimas“ užklausas.
Problema ta, kad funkcija checkWithoutToken tinkamai nepatvirtina prašytojo tapatybės. Užpuolikas gali klaidingai pateikti savo tapatybę kaip kilęs iš cleantalk.org domeno ir tada pradėti atakas. Taigi šis pažeidžiamumas turi įtakos tik įskiepiams, kurie neturi galiojančio API rakto.
„Wordfence“ patarime aprašomas pažeidžiamumas:
Apsauga nuo šlamšto, apsauga nuo šlamšto, „FireWall by CleanTalk“, skirta „WordPress“, yra pažeidžiama dėl neteisėto savavališko papildinio diegimo dėl autorizacijos apėjimo per atvirkštinio DNS (PTR įrašo) klastojimą naudojant funkciją „checkWithoutToken“…“
Rekomenduojamas veiksmas
Pažeidžiamumas paveikia „CleanTalk“ papildinio versijas, įskaitant 6.71. „Wordfence“ rekomenduoja vartotojams atnaujinti savo įrenginius į naujausią šio rašymo metu versiją, 6.72 versiją.
