Lunaro News Logo
Назад
SEO Новини

Уязвимостта на приставката за CleanTalk WordPress заплашва до 200 000 сайта

Уязвимостта на приставката за CleanTalk WordPress заплашва до 200 000 сайта Публикувано на: 2026-02-17 00:33:00 | Източник: www.searchenginejournal.com Издадено е предупреждение за критична уязвимост с оценка 9,8/10 в приставката CleanTalk Antispam WordPress, инсталирана в над 200 000 уебсайта. Уязвимостта позволява на неупълномощени нападатели да инсталират уязвими добавки, които след това могат да бъдат използвани за […]

Милен Станчев
17 февруари 2026 г. в 10:39
2 мин четене
Уязвимостта на приставката за CleanTalk WordPress заплашва до 200 000 сайта

Уязвимостта на приставката за CleanTalk WordPress заплашва до 200 000 сайта

Публикувано на: 2026-02-17 00:33:00 | Източник: www.searchenginejournal.com

Уязвимостта на приставката за CleanTalk WordPress заплашва до 200 000 сайта

Издадено е предупреждение за критична уязвимост с оценка 9,8/10 в приставката CleanTalk Antispam WordPress, инсталирана в над 200 000 уебсайта. Уязвимостта позволява на неупълномощени нападатели да инсталират уязвими добавки, които след това могат да бъдат използвани за стартиране на атаки за дистанционно изпълнение на код.

CleanTalk антиспам плъгин

Плъгинът CleanTalk Antispam е базиран на абонамент софтуер като услуга, която защитава уебсайтовете от неавтентични потребителски действия като спам абонаменти, регистрации, имейли с формуляри, плюс защитна стена за блокиране на лоши ботове.

Тъй като това е плъгин, базиран на абонамент, той разчита на валиден API, за да достигне до сървърите на CleanTalk и това е частта от плъгина, където е открит пропускът, който активира уязвимостта.

Уязвимост на приставката CleanTalk CVE-2026-1490

Плъгинът съдържа функция на WordPress, която проверява дали се използва валиден API ключ за свързване със сървърите на CleanTalk. Функцията на WordPress е PHP код, който изпълнява конкретна задача.

В този конкретен случай, ако плъгинът не може да потвърди връзка със сървърите на CleanTalk поради невалиден API ключ, той разчита на функцията checkWithoutToken, за да провери „доверените“ заявки.

Проблемът е, че функцията checkWithoutToken не проверява правилно самоличността на заявителя. Нападателят може да представи погрешно самоличността си като идваща от домейна cleantalk.org и след това да започне своите атаки. По този начин тази уязвимост засяга само добавки, които нямат валиден API ключ.

Съветът на Wordfence описва уязвимостта:

„Приставката за защита срещу нежелана поща, защита от нежелана поща, FireWall от CleanTalk за WordPress е уязвима за неоторизирано произволно инсталиране на приставка поради заобикаляне на оторизацията чрез обратен DNS (PTR запис) подправяне на функцията „checkWithoutToken“…“

Препоръчително действие

Уязвимостта засяга версиите на плъгина CleanTalk до включително 6.71. Wordfence препоръчва на потребителите да актуализират своите инсталации до най-новата версия към момента на писане, версия 6.72.

Хаштагове: #Уязвимостта #на #приставката #за #CleanTalk #WordPress #заплашва #до #сайта