دو نقص امنیتی جدی در افزونه وردپرسی  Spam protection, Anti-Spam and FireWall محصول CleanTalk شناسایی شده است که می‌تواند برای مهاجمان غیرمجاز، امکان نصب افزونه‌های مخرب و اجرای کد از راه دور را بر روی سایت‌های وردپرسی فراهم آورد.

 این آسیب‌پذیری‌ها که با CVE-2024-10542 و CVE-2024-10781 ردیابی می‌شوند، دارای امتیاز CVSS برابر با 9.8 از 10 هستند. این مشکلات امنیتی در نسخه‌های 6.44 و 6.45 این افزونه که در ماه جاری منتشر شده‌اند، برطرف شده است.

افزونه Spam protection, Anti-Spam, FireWall، محصول CleanTalk، بر روی بیش از 200,000 سایت وردپرسی نصب شده و به عنوان یک «افزونه ضد اسپم جامع» تبلیغ می‌شود که از اسپم نظرات، ثبت‌نام‌ها، نظرسنجی‌ها و موارد دیگر جلوگیری می‌کند.

 به گفته Wordfence، هر دو آسیب‌پذیری به موضوع دور زدن مجوزها مربوط می‌شوند که می‌تواند به مهاجمان مخرب اجازه دهد افزونه‌های دلخواه را نصب و فعال کنند. این موضوع می‌تواند منجر به اجرای کد از راه دور نیز گردد.

به گفته‌ی محققان امنیتی، این افزونه به دلیل عدم بررسی مقادیر خالی در متغیر «api_key» تابع «perform» در تمامی نسخه‌ها تا نسخه‌ی 6.44، نسبت به نصب افزونه‌های دلخواه بدون مجوز آسیب‌پذیر است. از سوی دیگر، مشکل دور زدن مجوز از طریق جعل DNS در تابع checkWithoutToken() نیز در این افزونه وجود دارد.

به کاربران این افزونه توصیه می‌شود که سایت‌های خود را به آخرین نسخه‌های به‌روزرسانی‌شده مجهز کنند تا در برابر تهدیدات احتمالی محافظت شوند.