CRITICAL🇬🇧 English

CVE-2026-1490

Auth Bypass przez PTR record spoofing w pluginie CleanTalk dla WordPress

CVSS 9.8v3.1pub. 2026-02-15upd. 2026-04-15

Plugin 'Spam protection, Anti-Spam, FireWall by CleanTalk' dla WordPress w wersjach do 6.71 włącznie zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu instalację dowolnych pluginów bez autoryzacji. Luka jest szczególnie groźna, ponieważ może prowadzić do RCE poprzez instalację i aktywację innego podatnego pluginu.

Pokaż oryginał (EN)

The Spam protection, Anti-Spam, FireWall by CleanTalk plugin for WordPress is vulnerable to unauthorized Arbitrary Plugin Installation due to an authorization bypass via reverse DNS (PTR record) spoofing on the 'checkWithoutToken' function in all versions up to, and including, 6.71. This makes it possible for unauthenticated attackers to install and activate arbitrary plugins which can be leveraged to achieve remote code execution if another vulnerable plugin is installed and activated. Note: This is only exploitable on sites with an invalid API key.

🤖 Analiza AI
Jak działa

Funkcja 'checkWithoutToken' implementuje mechanizm autoryzacji oparty na weryfikacji rekordu PTR (odwrotny DNS) adresu IP wywołującego żądanie. Atakujący może sfałszować rekord PTR swojego adresu IP tak, aby uwierzytelnienie przeszło pomyślnie, co stanowi klasyczny przypadek CWE-350 — polegania na danych wejściowych możliwych do sfałszowania przez użytkownika. Pomyślne ominięcie autoryzacji pozwala na wywołanie funkcji instalacji pluginów bez posiadania ważnego tokenu API. Podatność jest możliwa do wykorzystania wyłącznie na serwisach WordPress, które posiadają nieprawidłowy (nieważny) klucz API CleanTalk.

Skutki

Nieuwierzytelniony atakujący może zainstalować i aktywować dowolny plugin WordPress, co w połączeniu z zainstalowaniem podatnego pluginu może prowadzić do pełnego przejęcia kontroli nad serwerem poprzez RCE. Zagrożone są poufność, integralność i dostępność systemu.

Mitygacja

Należy zaktualizować plugin do wersji wyższej niż 6.71 zgodnie z changesetem dostępnym w repozytorium WordPress (changeset 3454488). Dodatkowo zaleca się weryfikację poprawności klucza API CleanTalk oraz przegląd zainstalowanych pluginów pod kątem nieautoryzowanych instalacji.

Kogo dotyczy

Plugin 'Spam protection, Anti-Spam, FireWall by CleanTalk' dla WordPress — wszystkie wersje do 6.71 włącznie, wyłącznie na serwisach z nieprawidłowym kluczem API CleanTalk.

Uwagi

Podatność jest możliwa do wykorzystania wyłącznie na serwisach WordPress posiadających nieprawidłowy klucz API CleanTalk — co ogranicza zasięg zagrożenia, choć nie eliminuje ryzyka.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth BypassFirewall
CWE
Referencje