Falha Crítica no Plugin CleanTalk Antispam do WordPress Permite Invasão Remota
Uma falha crítica foi identificada no plugin CleanTalk Antispam para WordPress, utilizado em mais de 200 mil sites. Com uma classificação de severidade de 9.8 em 10, a vulnerabilidade permite que atacantes não autenticados instalem plugins comprometidos, possibilitando ataques de execução remota de código. O CleanTalk Antispam é um serviço por assinatura que protege sites contra ações de usuários falsos, como inscrições de spam e envios de formulários, além de oferecer um firewall para bloquear bots maliciosos. O problema foi encontrado na parte do plugin que se conecta aos servidores da CleanTalk, especificamente na função que verifica a validade da chave API. Identificada como CVE-2026-1490, a falha está na função do WordPress que deveria validar a chave API ao se conectar aos servidores da CleanTalk. Caso a chave seja inválida, a função checkWithoutToken é usada para verificar pedidos “confiáveis”. No entanto, essa função não autentica corretamente a identidade do solicitante, permitindo que atacantes se passem pelo domínio cleantalk.org e realizem ataques. A vulnerabilidade afeta apenas plugins sem uma chave API válida. A falha afeta versões do plugin até a 6.71. A Wordfence recomenda que os usuários atualizem para a versão mais recente, 6.72, para mitigar o risco. Fonte:https://www.searchenginejournal.com/cleantalk-wordpress-plugin-vulnerability/567586/
