Il plugin CleanTalk Spam Protection, Anti-Spam e Firewall per WordPress è installato su oltre 200.000 siti e funge da “plugin antispam universale” progettato per bloccare commenti di spam, registrazioni e altre attività dannose. Due vulnerabilità critiche nel plugin, CVE-2024-10542 e CVE-2024-10781, sono attualmente in forte diffusione. Entrambe sfruttano bypass di autorizzazione, permettendo potenzialmente ad attaccanti non autenticati di installare e attivare plugin arbitrari, il che potrebbe condurre ad esecuzione di codice da remoto (RCE).

Riassunto tecnico

1. CVE-2024-10781
   Questa vulnerabilità deriva dall’assenza di un controllo sul valore vuoto per il parametro api_key nella funzione perform. Lo sfruttamento di questa falla consente ad attaccanti non autenticati di installare e attivare plugin arbitrari sui siti interessati. Se uno dei plugin attivati contiene a sua volta vulnerabilità, gli attaccanti possono intensificare le loro azioni fino a raggiungere l’esecuzione di codice da remoto (RCE).

2. CVE-2024-10542
   Questo problema deriva da un bypass di autorizzazione tramite spoofing DNS inverso all’interno della funzione checkWithoutToken. Gli attaccanti possono sfruttare questo bypass per eseguire operazioni non autorizzate, inclusa l’installazione e l’attivazione di plugin arbitrari. Il rischio di sfruttamento è più elevato quando vengono attivati plugin dannosi o vulnerabili, il che può condurre a potenziale RCE.

Raccomandazioni

• Azione immediata: aggiornare il plugin CleanTalk Spam Protection, Anti-Spam e Firewall alle versioni 6.44 o 6.45 per risolvere entrambe le vulnerabilità.
• Indurimento: effettuare regolarmente audit e monitoraggio dell’installazione WordPress per individuare modifiche non autorizzate, inclusi plugin o configurazioni inaspettati.
• Backup e monitoraggio: mantenere backup regolari del proprio sito web e monitorare eventuali attività non autorizzate per consentire un rapido ripristino in caso di compromissione.