ISGroup Consultoría de Ciberseguridad

Vulnerabilidades críticas en el plugin de WordPress CleanTalk exponen a más de 200.000 sitios a ataques remotos

El plugin CleanTalk Spam Protection, Anti-Spam e Firewall para WordPress está instalado en más de 200.000 sitios y actúa como un “plugin antispam universal” diseñado para bloquear comentarios de spam, registros y otras actividades maliciosas. Dos vulnerabilidades críticas en el plugin, CVE-2024-10542 y CVE-2024-10781, se están difundiendo actualmente de forma masiva. Ambas aprovechan omisiones de autorización, lo que permite potencialmente a atacantes no autenticados instalar y activar plugins arbitrarios, lo que podría conducir a la ejecución remota de código (RCE).

Productocleantalk-spam-protect
Fecha2024-11-29 10:09:13
Información
  • En tendencia
  • Corrección disponible

Resumen técnico

  1. CVE-2024-10781
    Esta vulnerabilidad deriva de la ausencia de una comprobación para el valor vacío del parámetro api_key en la función perform. La explotación de este fallo permite a atacantes no autenticados instalar y activar plugins arbitrarios en los sitios afectados. Si uno de los plugins activados contiene a su vez vulnerabilidades, los atacantes pueden escalar sus acciones hasta alcanzar la ejecución remota de código (RCE).

  2. CVE-2024-10542
    Este problema deriva de una omisión de autorización mediante suplantación (spoofing) de DNS inverso dentro de la función checkWithoutToken. Los atacantes pueden aprovechar esta omisión para realizar operaciones no autorizadas, incluida la instalación y activación de plugins arbitrarios. El riesgo de explotación es mayor cuando se activan plugins maliciosos o vulnerables, lo que puede conducir a una posible RCE.

Recomendaciones

  • Acción inmediata: actualizar el plugin CleanTalk Spam Protection, Anti-Spam e Firewall a las versiones 6.44 o 6.45 para resolver ambas vulnerabilidades.
  • Endurecimiento (Hardening): realizar auditorías y monitoreo regulares de la instalación de WordPress para detectar modificaciones no autorizadas, incluidos plugins o configuraciones inesperadas.
  • Copias de seguridad y monitoreo: mantener copias de seguridad regulares de su sitio web y monitorear cualquier actividad no autorizada para permitir una rápida recuperación en caso de compromiso.

[Callforaction-THREAT-Footer]

In