Duas falhas de segurança críticas afetando o plugin de proteção contra spam, Anti-Spam e FireWall do WordPress poderiam permitir que um atacante não autenticado instalasse e ativasse plugins maliciosos em sites suscetíveis, alcançando potencialmente a execução remota de código.
As vulnerabilidades, identificadas como CVE-2024-10542 e CVE-2024-10781, têm uma pontuação CVSS de 9.8 de um máximo de 10.0.
Elas foram corrigidas nas versões 6.44 e 6.45 lançadas neste mês.
Instalado em mais de 200.000 sites do WordPress, o plugin de proteção contra spam, Anti-Spam e FireWall da CleanTalk é promovido como um "plugin anti-spam universal" que bloqueia comentários, registros, pesquisas e mais atividades consideradas como spam.
De acordo com a Wordfence, ambas as vulnerabilidades dizem respeito a um problema de bypass de autorização que poderia permitir a um ator malicioso instalar e ativar plugins arbitrários.
Isso poderia, então, abrir caminho para a execução remota de código, caso o plugin ativado seja vulnerável por si só.
O plugin é "vulnerável à instalação arbitrária de plugin sem autorização devido à falta de uma verificação de valor vazio no valor 'api_key' na função 'perform' em todas as versões até, e incluindo, a 6.44", disse o pesquisador de segurança István Márton, referindo-se ao CVE-2024-10781.
Por outro lado, o CVE-2024-10542 decorre de um bypass de autorização via spoofing de DNS reverso na função checkWithoutToken().
Independentemente do método de bypass, a exploração bem-sucedida das duas falhas poderia permitir que um atacante instalasse, ativasse, desativasse ou até mesmo desinstalasse plugins.
Aconselha-se que os usuários do plugin garantam que seus sites estejam atualizados para a versão corrigida mais recente, a fim de proteger-se contra potenciais ameaças.
Essa notícia surge enquanto a Sucuri advertiu sobre múltiplas campanhas que estão aproveitando sites WordPress comprometidos para injetar códigos maliciosos responsáveis por redirecionar visitantes do site para outros sites através de anúncios falsos, skimmar credenciais de login, além de instalar malware que captura senhas de administrador, redireciona para sites de golpe VexTrio Viper, e executa código PHP arbitrário no servidor.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...