Была обнаружена серьезная уязвимость в плагине CleanTalk Antispam для WordPress, который используется более чем на 200 000 веб-сайтах. Эта уязвимость, считающаяся критической, позволяет злоумышленникам устанавливать вредоносные плагины без входа в систему. Эти установленные плагины затем могут быть использованы для получения полного контроля над веб-сайтом.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)CleanTalk Antispam Plugin
CleanTalk — это сервис, который помогает веб-сайтам блокировать спам и защищаться от мошеннических действий. Он останавливает фальшивые регистрации, спам-отправки через формы и злонамеренных ботов, функционируя как фаервол на основе подписки.
Этот плагин работает по подписке, поэтому ему требуется рабочее подключение к серверам CleanTalk. Проблема безопасности была обнаружена в этой части подключения плагина.
Уязвимость плагина CleanTalk CVE-2026-1490
Этот плагин включает в себя функцию, которая проверяет, верен ли API-ключ, используемый для подключения к серверам CleanTalk. Эта функция написана на PHP, языке программирования, используемом WordPress, и предназначена для выполнения конкретной функции.
https://www.searchenginejournal.com/wp-json/sscats/v2/tk/Middle_Post_Text
Если плагин не может подключиться к CleanTalk из-за неверного API-ключа, он использует функцию под названием ‘checkWithoutToken’ для подтверждения того, поступают ли запросы из доверенного источника.
Проблема заключается в том, что функция `checkWithoutToken` ненадёжно подтверждает, кто делает запрос. Это позволяет злоумышленнику выдавать себя за отправляющего запрос от cleantalk.org и осуществить атаку. Эта уязвимость влияет только на плагины, которые не используют рабочий API-ключ.
Плагин CleanTalk для WordPress, который предоставляет защиту от спама и функции брандмауэра, имеет уязвимость в системе безопасности. Хакеры могут использовать эту уязвимость для установки вредоносных плагинов без разрешения, манипулируя DNS-записями и обходя проверки безопасности плагина в функции ‘checkWithoutToken’.
Рекомендуемое действие
Существует уязвимость в системе безопасности плагина CleanTalk версий 6.71 и более ранних. Wordfence рекомендует пользователям обновиться до последней версии – 6.72 – для защиты своих сайтов.
Смотрите также
- Акции CBOM. МКБ: прогноз акций.
- Часть 1. Как шаг за шагом запустить, управлять и развивать партнерскую программу
- Google может меньше полагаться на Hreflang и перейти на автоматическое определение языка
- Интеграция Google Lens для YouTube Shorts: Поиск внутри видео.
- Танец бычьего роста Биткойна: сможет ли он вальсировать до 144,000 долларов?
- Команда по связям с поисковыми системами Google обсуждает, нужен ли вам по-прежнему веб-сайт.
- Бизнес-результаты — главный KPI для покупателей видеорекламы — отчет IAB, часть вторая
- Часть 3: Как шаг за шагом запустить, управлять и развивать партнерскую программу
- Как Получить Работу в Цифровой Маркетинге в 2025 году
- Акции привилегированные KZOSP. Казаньоргсинтез: прогноз акций привилегированных.
2026-02-17 02:09