Defiant警告说,CleanTalk的WordPress反垃圾邮件插件中存在两个严重漏洞,攻击者可以在没有验证的情况下远程执行任意代码。
这些问题被追踪为 CVE-2024-10542 和 CVE-2024-10781(CVSS 得分为 9.8),影响到 “垃圾邮件保护、反垃圾邮件、CleanTalk 防火墙 “插件,该插件有 20 多万个有效安装。
这两个缺陷可允许未经认证的远程攻击者安装和激活任意插件,包括可被利用进行远程代码执行(RCE)的脆弱插件。
Defiant 解释的 CVE-2024-10542 是一个授权旁路,它影响到一个处理远程调用和插件安装的函数,该函数对这些操作执行令牌授权。
用于检查源 IP 地址和域名的另外两个功能容易受到 IP 和 DNS 欺骗,攻击者可以指定他们控制的 IP 和子域,绕过授权。
“Defiant 解释说:”然后,攻击者就可以执行这一预期授权检查背后的任何操作,如插件安装、激活、停用或卸载。
该漏洞于 10 月底被发现,11 月 1 日发布的 6.44 版插件解决了这一问题。不过,在修补后的迭代版本中发现了 CVE-2024-10781 漏洞,这是另一种绕过令牌授权的方法。
Defiant 解释说,由于令牌可以通过与 API 密钥的哈希值比较进行授权,如果网站没有在插件中配置 API 密钥,攻击者就可以 “使用与空哈希值匹配的令牌 “进行授权。
与第一个漏洞相同,成功利用 CVE-2024-10781 允许攻击者安装和激活任意插件,然后利用它们进行 RCE。
CleanTalk 的垃圾邮件保护、反垃圾邮件、防火墙 6.45 版已于 11 月 14 日发布,其中包含针对第二个漏洞的修补程序。
根据WordPress的数据,截至 11 月 26 日,约有一半的插件活动安装没有运行已打补丁的版本,这意味着它们有可能被利用。
建议用户尽快更新到 6.45 版,因为该版本包含对这两个安全缺陷的修复。
作者:Ionut Arghire