Uma falha crítica foi identificada no plugin CleanTalk Antispam para WordPress, que está presente em mais de 200 mil sites. Avaliada com uma gravidade de 9,8 em 10, essa vulnerabilidade permite que invasores, sem autenticação, instalem plugins comprometidos, possibilitando ataques de execução remota de código.
O CleanTalk Antispam é um serviço baseado em assinatura que protege sites contra ações de usuários falsos, como inscrições de spam, registros e e-mails de formulários, além de incluir um firewall para bloquear bots maliciosos. A vulnerabilidade foi encontrada na parte do plugin que se comunica com os servidores da CleanTalk, especificamente na verificação de uma chave de API válida.
Identificada como CVE-2026-1490, a falha está em uma função do WordPress que verifica se uma chave de API válida está sendo usada. Caso a conexão com os servidores da CleanTalk não seja validada devido a uma chave de API inválida, a função checkWithoutToken é utilizada para verificar solicitações “confiáveis”. No entanto, essa função não valida corretamente a identidade do solicitante, permitindo que um invasor se passe pelo domínio cleantalk.org e inicie ataques. A vulnerabilidade afeta apenas plugins sem uma chave de API válida.
A falha afeta as versões do plugin CleanTalk até a 6.71. A Wordfence recomenda que os usuários atualizem para a versão mais recente, 6.72, para mitigar os riscos associados a essa vulnerabilidade.
Fonte:https://www.searchenginejournal.com/cleantalk-wordpress-plugin-vulnerability/567586/
