Была обнаружена серьезная уязвимость в плагине CleanTalk Antispam для WordPress, который используется более чем на 200 000 веб-сайтах. Эта уязвимость, считающаяся критической, позволяет злоумышленникам устанавливать вредоносные плагины без входа в систему. Эти установленные плагины затем могут быть использованы для получения полного контроля над веб-сайтом.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)CleanTalk Antispam Plugin
CleanTalk — это сервис, который помогает веб-сайтам блокировать спам и защищаться от мошеннических действий. Он останавливает фальшивые регистрации, спам-отправки через формы и злонамеренных ботов, функционируя как фаервол на основе подписки.
Этот плагин работает по подписке, поэтому ему требуется рабочее подключение к серверам CleanTalk. Проблема безопасности была обнаружена в этой части подключения плагина.
Уязвимость плагина CleanTalk CVE-2026-1490
Этот плагин включает в себя функцию, которая проверяет, верен ли API-ключ, используемый для подключения к серверам CleanTalk. Эта функция написана на PHP, языке программирования, используемом WordPress, и предназначена для выполнения конкретной функции.
https://www.searchenginejournal.com/wp-json/sscats/v2/tk/Middle_Post_Text
Если плагин не может подключиться к CleanTalk из-за неверного API-ключа, он использует функцию под названием ‘checkWithoutToken’ для подтверждения того, поступают ли запросы из доверенного источника.
Проблема заключается в том, что функция `checkWithoutToken` ненадёжно подтверждает, кто делает запрос. Это позволяет злоумышленнику выдавать себя за отправляющего запрос от cleantalk.org и осуществить атаку. Эта уязвимость влияет только на плагины, которые не используют рабочий API-ключ.
Плагин CleanTalk для WordPress, который предоставляет защиту от спама и функции брандмауэра, имеет уязвимость в системе безопасности. Хакеры могут использовать эту уязвимость для установки вредоносных плагинов без разрешения, манипулируя DNS-записями и обходя проверки безопасности плагина в функции ‘checkWithoutToken’.
Рекомендуемое действие
Существует уязвимость в системе безопасности плагина CleanTalk версий 6.71 и более ранних. Wordfence рекомендует пользователям обновиться до последней версии – 6.72 – для защиты своих сайтов.
Смотрите также
- Обзоры Google AI теперь предоставляют помощь в программировании
- Анализ динамики цен на криптовалюту LSETH: прогнозы LSETH
- YouTube запускает платные курсы для большего количества каналов
- 10 творческих способов мотивировать вашу маркетинговую команду с помощью @sejournal, @jasonhennessey
- Акции GEMC. United medical group: прогноз акций.
- Акции MOEX. Мосбиржа: прогноз акций.
- Акции CIAN. Циан: прогноз акций.
- Акции AFKS. АФК Система: прогноз акций.
- Поиск Google извлекает составные изображения с помощью обученных алгоритмических типов мультимедиа
- Разработчики систем – как ИИ меняет работу SEO
2026-02-17 02:09