最近,超过 200000 个使用 WordPress 网站发现,其所使用的 CleanTalk 插件包括垃圾邮件保护、反垃圾邮件和防火墙功能,存在一对关键的授权绕过漏洞。这些漏洞被追踪为 CVE202410542 和 CVE202410781,攻击者可利用它们对网站进行任意插件激活和远程代码执行攻击,SecurityWeek 报告称。 在这两项漏洞中,CVE202410542 的影响更为严重,它绕过了插件的远程调用和插件安装功能的授权检查。根据 Defiant 的报告,“攻击者可以执行任何原本需要授权检查的操作,例如插件的安装、激活、停用或卸载。”尽管 CleanTalk 本月初已发布了针对该问题的修复,但发布的修复版本在 CVE202410781 的影响下仍然存在漏洞,此漏洞允许攻击者通过具有相同空哈希值的令牌进行授权。Defiant 进一步补充称,使用 CleanTalk 插件的 WordPress 网站组织被敦促立即应用版本 645 的更新。 建议:所有使用 CleanTalk 插件的用户应立即检查其网站的插件版本,并确保及时更新,以防止潜在的安全风险。WordPress 插件存在严重安全漏洞
关键要点
影响范围:约50的使用 CleanTalk 垃圾邮件保护、反垃圾邮件和防火墙插件的 WordPress 网站受到影响。安全漏洞:两项关键的授权绕过漏洞,CVE202410542 和 CVE202410781,允许恶意攻击者进行任意插件激活和远程代码执行。修复建议:CleanTalk 已于本月发布了修复版本 645,建议使用该插件的组织立即更新。
扫一扫微信交流