Dos fallas de seguridad críticas que afectan la protección contra spam, Anti-Spam y el complemento FireWall de WordPress podrían permitir que un atacante no autenticado instale y habilite complementos maliciosos en sitios susceptibles y potencialmente lograr la ejecución remota de código.
Las vulnerabilidades, rastreadas como CVE-2024-10542 y CVE-2024-10781tiene una puntuación CVSS de 9,8 sobre un máximo de 10,0. Se solucionaron en las versiones 6.44 y 6.45 lanzadas este mes.
Instalado en más de 200.000 sitios de WordPress, el complemento de protección contra spam, antispam y FireWall de CleanTalk se anuncia como un “complemento antispam universal” que bloquea comentarios, registros, encuestas y más spam.
Según Wordfence, ambas vulnerabilidades se refieren a un problema de omisión de autorización que podría permitir a un actor malintencionado instalar y activar complementos arbitrarios. Esto podría allanar el camino para la ejecución remota de código si el complemento activado es vulnerable por sí solo.
El complemento es “vulnerable a la instalación arbitraria no autorizada de complementos debido a que falta una verificación de valor vacío en el valor ‘api_key’ en la función ‘perform’ en todas las versiones hasta la 6.44 inclusive”, dijo el investigador de seguridad István Márton, refiriéndose a CVE. -2024-10781.
Por otro lado, CVE-2024-10542 se debe a una omisión de autorización mediante suplantación de DNS inversa en la función checkWithoutToken().
Independientemente del método de derivación, la explotación exitosa de las dos deficiencias podría permitir a un atacante instalar, activar, desactivar o incluso desinstalar complementos.
Se recomienda a los usuarios del complemento que se aseguren de que sus sitios estén actualizados a la última versión parcheada para protegerse contra posibles amenazas.
El desarrollo se produce cuando Sucuri ha advertido sobre múltiples campañas que aprovechan sitios de WordPress comprometidos para inyectar código malicioso responsable de redirigir a los visitantes del sitio a otros sitios a través de anuncios falsos, robar credenciales de inicio de sesión y eliminar malware que captura contraseñas de administrador y redirige a VexTrio Viper. sitios fraudulentos y ejecutar código PHP arbitrario en el servidor.