Vulnerabilidad en Spam protection, Anti-Spam, FireWall by CleanTalk para WordPress (CVE-2024-10781)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/11/2024
Última modificación:
12/07/2025
Descripción
El complemento Spam protection, Anti-Spam, FireWall by CleanTalk para WordPress es vulnerable a la instalación arbitraria de complementos debido a la falta de una comprobación de valor vacío en el valor 'api_key' en la función 'perform' en todas las versiones hasta la 6.44 incluida. Esto permite que atacantes no autenticados instalen y activen complementos arbitrarios que pueden aprovecharse para lograr la ejecución remota de código si se instala y activa otro complemento vulnerable.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cleantalk:spam_protection\,_antispam\,_firewall:*:*:*:*:*:wordpress:*:* | 6.45 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/cleantalk-spam-protect/tags/6.44/lib/Cleantalk/ApbctWP/RemoteCalls.php#L95
- https://plugins.trac.wordpress.org/browser/cleantalk-spam-protect/tags/6.44/lib/Cleantalk/ApbctWP/RemoteCalls.php#L96
- https://plugins.trac.wordpress.org/changeset/3188546/cleantalk-spam-protect#file653
- https://www.wordfence.com/threat-intel/vulnerabilities/id/79ae062c-b084-4045-9407-2d94919993af?source=cve