Falha Crítica no Plugin CleanTalk Antispam do WordPress Permite Invasão Remota
Uma falha crítica foi identificada no plugin CleanTalk Antispam para WordPress, utilizado em mais de 200 mil sites. Com uma classificação de severidade de 9.8 em 10, a vulnerabilidade permite que atacantes não autenticados instalem plugins comprometidos, possibilitando ataques de execução remota de código. O CleanTalk Antispam é um serviço por assinatura que protege sites contra ações de usuários falsos, como inscrições de spam e envios de formulários, além de oferecer um firewall para bloquear bots maliciosos. O problema foi encontrado na parte do plugin que se conecta aos servidores da CleanTalk, especificamente na função que verifica a validade da chave API. Identificada como CVE-2026-1490, a falha está na função do WordPress que deveria validar a chave API ao se conectar aos servidores da CleanTalk. Caso a chave seja inválida, a função checkWithoutToken é usada para verificar pedidos “confiáveis”. No entanto, essa função não autentica corretamente a identidade do solicitante, permitindo que atacantes se passem pelo domínio cleantalk.org e realizem ataques. A vulnerabilidade afeta apenas plugins sem uma chave API válida. A falha afeta versões do plugin até a 6.71. A Wordfence recomenda que os usuários atualizem para a versão mais recente, 6.72, para mitigar o risco. Fonte:https://www.searchenginejournal.com/cleantalk-wordpress-plugin-vulnerability/567586/
Falha Crítica no Plugin CleanTalk Antispam Permite Ataques Remotos em WordPress
Uma falha crítica foi identificada no plugin CleanTalk Antispam para WordPress, que está presente em mais de 200 mil sites. Avaliada com uma gravidade de 9,8 em 10, essa vulnerabilidade permite que invasores, sem autenticação, instalem plugins comprometidos, possibilitando ataques de execução remota de código. O CleanTalk Antispam é um serviço baseado em assinatura que protege sites contra ações de usuários falsos, como inscrições de spam, registros e e-mails de formulários, além de incluir um firewall para bloquear bots maliciosos. A vulnerabilidade foi encontrada na parte do plugin que se comunica com os servidores da CleanTalk, especificamente na verificação de uma chave de API válida. Identificada como CVE-2026-1490, a falha está em uma função do WordPress que verifica se uma chave de API válida está sendo usada. Caso a conexão com os servidores da CleanTalk não seja validada devido a uma chave de API inválida, a função checkWithoutToken é utilizada para verificar solicitações “confiáveis”. No entanto, essa função não valida corretamente a identidade do solicitante, permitindo que um invasor se passe pelo domínio cleantalk.org e inicie ataques. A vulnerabilidade afeta apenas plugins sem uma chave de API válida. A falha afeta as versões do plugin CleanTalk até a 6.71. A Wordfence recomenda que os usuários atualizem para a versão mais recente, 6.72, para mitigar os riscos associados a essa vulnerabilidade. Fonte:https://www.searchenginejournal.com/cleantalk-wordpress-plugin-vulnerability/567586/
