Uma falha crítica foi identificada no plugin CleanTalk Antispam para WordPress, utilizado em mais de 200 mil sites. Com uma classificação de severidade de 9.8 em 10, a vulnerabilidade permite que atacantes não autenticados instalem plugins comprometidos, possibilitando ataques de execução remota de código.
O CleanTalk Antispam é um serviço por assinatura que protege sites contra ações de usuários falsos, como inscrições de spam e envios de formulários, além de oferecer um firewall para bloquear bots maliciosos. O problema foi encontrado na parte do plugin que se conecta aos servidores da CleanTalk, especificamente na função que verifica a validade da chave API.
Identificada como CVE-2026-1490, a falha está na função do WordPress que deveria validar a chave API ao se conectar aos servidores da CleanTalk. Caso a chave seja inválida, a função checkWithoutToken é usada para verificar pedidos “confiáveis”. No entanto, essa função não autentica corretamente a identidade do solicitante, permitindo que atacantes se passem pelo domínio cleantalk.org e realizem ataques. A vulnerabilidade afeta apenas plugins sem uma chave API válida.
A falha afeta versões do plugin até a 6.71. A Wordfence recomenda que os usuários atualizem para a versão mais recente, 6.72, para mitigar o risco.
Fonte:https://www.searchenginejournal.com/cleantalk-wordpress-plugin-vulnerability/567586/
