دو نقص امنیتی جدی در افزونه وردپرسی Spam protection, Anti-Spam and FireWall محصول CleanTalk شناسایی شده است که میتواند برای مهاجمان غیرمجاز، امکان نصب افزونههای مخرب و اجرای کد از راه دور را بر روی سایتهای وردپرسی فراهم آورد.
این آسیبپذیریها که با CVE-2024-10542 و CVE-2024-10781 ردیابی میشوند، دارای امتیاز CVSS برابر با 9.8 از 10 هستند. این مشکلات امنیتی در نسخههای 6.44 و 6.45 این افزونه که در ماه جاری منتشر شدهاند، برطرف شده است.
افزونه Spam protection, Anti-Spam, FireWall، محصول CleanTalk، بر روی بیش از 200,000 سایت وردپرسی نصب شده و به عنوان یک «افزونه ضد اسپم جامع» تبلیغ میشود که از اسپم نظرات، ثبتنامها، نظرسنجیها و موارد دیگر جلوگیری میکند.
به گفته Wordfence، هر دو آسیبپذیری به موضوع دور زدن مجوزها مربوط میشوند که میتواند به مهاجمان مخرب اجازه دهد افزونههای دلخواه را نصب و فعال کنند. این موضوع میتواند منجر به اجرای کد از راه دور نیز گردد.
به گفتهی محققان امنیتی، این افزونه به دلیل عدم بررسی مقادیر خالی در متغیر «api_key» تابع «perform» در تمامی نسخهها تا نسخهی 6.44، نسبت به نصب افزونههای دلخواه بدون مجوز آسیبپذیر است. از سوی دیگر، مشکل دور زدن مجوز از طریق جعل DNS در تابع checkWithoutToken() نیز در این افزونه وجود دارد.
به کاربران این افزونه توصیه میشود که سایتهای خود را به آخرین نسخههای بهروزرسانیشده مجهز کنند تا در برابر تهدیدات احتمالی محافظت شوند.