دو نقص امنیتی حیاتی با شناسههای CVE-2024-10542 و CVE-2024-10781 و با امتیاز CVSS 9.8 در پلاگین ضد هرزنامه و فایروال وردپرس CleanTalk، میتواند به نفوذگر غیر مجاز اجازه دهد تا پلاگینهای مخرب را در سایتهای آسیبپذیر نصب و فعال کند و به طور بالقوه به اجرای کد از راه دور دست یابد.
آسیبپذیریهای مذکور در نسخههای 6.44 و 6.45 منتشر شده در این ماه برطرف شدهاند. بر اساس گزارش wordfence پلاگین حفاظت از هرزنامه، ضد هرزنامه، فایروال CleanTalk به عنوان یک “افزونه جهانی ضد هرزنامه” تبلیغ میشود، بر روی بیش از 200.000 سایت وردپرس نصب شده که نظرات، ثبت نام ، نظرسنجیها و … را مسدود میکند.
هر دو نقص امنیتی مربوط به دور زدن احراز هویت است که امکان نصب و فعالسازی پلاگینهای دلخواه را برای نفوذگر فعال میکند. لازم به ذکر است که اگر پلاگین فعال شده به خودی خود آسیبپذیر باشد، میتواند راه را برای اجرای کد از راه دور نیز هموار سازد.
https://thehackernews.com/2024/11/critical-wordpress-anti-spam-plugin.html
