Vulnerabilidad en Spam protection, Anti-Spam, FireWall by CleanTalk para WordPress (CVE-2024-10542)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/11/2024
Última modificación:
26/11/2024
Descripción
El complemento Spam protection, Anti-Spam, FireWall by CleanTalk para WordPress es vulnerable a la instalación no autorizada de complementos arbitrarios debido a una omisión de autorización mediante suplantación de DNS inversa en la función checkWithoutToken en todas las versiones hasta la 6.43.2 incluida. Esto permite que atacantes no autenticados instalen y activen complementos arbitrarios que pueden aprovecharse para lograr la ejecución remota de código si se instala y activa otro complemento vulnerable.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/cleantalk-spam-protect/tags/6.43.2/lib/Cleantalk/ApbctWP/RemoteCalls.php#L41
- https://plugins.trac.wordpress.org/changeset/3179819/cleantalk-spam-protect#file631
- https://www.wordfence.com/threat-intel/vulnerabilities/id/d7eb5fad-bb62-4f0b-ad52-b16c3e442b62?source=cve