Noticias

Más de 200,000 sitios WordPress afectados por vulnerabilidades críticas no autenticadas en el plugin Anti-Spam de CleanTalk

Posted on by admin
Man using notebook to write lines of code for AI applications
28
Nov

El ecosistema de WordPress enfrenta un nuevo desafío de seguridad con la detección de dos vulnerabilidades críticas en el plugin Anti-Spam by CleanTalk, utilizado por más de 200,000 sitios web activos. Estas vulnerabilidades permiten a atacantes no autenticados instalar y activar plugins arbitrarios, lo que podría derivar en la ejecución remota de código en los sitios afectados.

Resumen de las vulnerabilidades

1. Bypass de autorización mediante spoofing de DNS inverso

  • Plugin afectado: Anti-Spam by CleanTalk
  • Versiones afectadas: <= 6.43.2
  • ID CVE: CVE-2024-10542
  • Puntuación CVSS: 9.8 (Crítico)
  • Descripción: La función checkWithoutToken() permite a un atacante realizar acciones críticas, como la instalación de plugins, al explotar una validación deficiente basada en la dirección IP del dominio cleantalk.org. Un atacante puede falsificar esta validación mediante un dominio malicioso con referencias a cleantalk.org.

2. Bypass de autorización por falta de verificación de valores vacíos

  • Plugin afectado: Anti-Spam by CleanTalk
  • Versiones afectadas: <= 6.44
  • ID CVE: CVE-2024-10781
  • Puntuación CVSS: 9.8 (Crítico)
  • Descripción: Una verificación insuficiente en la clave api_key permite a un atacante autenticarse utilizando un token correspondiente a un valor hash vacío, si la clave API no está configurada.

Ambas vulnerabilidades permiten instalar y activar plugins arbitrarios, lo que podría ser aprovechado para ejecutar código malicioso si otro plugin vulnerable también está activo en el sitio.

Seguridad informatica es prioridad

Protecciones implementadas y acciones recomendadas

Acciones del equipo de Wordfence

El equipo de inteligencia de amenazas de Wordfence identificó estas vulnerabilidades y lanzó reglas de protección en las siguientes fechas:

  1. 30 de octubre de 2024: Protección contra la vulnerabilidad de bypass de autorización mediante spoofing de DNS inverso para usuarios de Wordfence Premium, Care y Response. Los usuarios de la versión gratuita recibirán esta protección el 29 de noviembre de 2024.
  2. 4 de noviembre de 2024: Protección contra la vulnerabilidad por falta de verificación de valores vacíos para usuarios de Wordfence Premium, Care y Response. Los usuarios gratuitos recibirán esta protección el 4 de diciembre de 2024.

Respuesta del desarrollador de CleanTalk

El equipo de CleanTalk fue notificado el 30 de octubre de 2024 y respondió rápidamente. Se lanzaron parches en las siguientes fechas:

  • 1 de noviembre de 2024: Versión 6.44 con un parche parcial.
  • 14 de noviembre de 2024: Versión 6.45 con el parche completo.

Se recomienda a los usuarios actualizar su plugin a la versión 6.45 o superior para protegerse contra estas amenazas.

Detalles técnicos

1. Vulnerabilidad por spoofing de DNS inverso

El problema reside en la función checkWithoutToken(), que valida la dirección IP de origen basándose en parámetros configurados por el usuario. La validación es vulnerable porque se utiliza la función strpos() para verificar si la dirección IP resuelta incluye la cadena cleantalk.org. Un atacante puede falsificar esta validación utilizando subdominios maliciosos, como cleantalk.org.evilsite.com.

2. Vulnerabilidad por falta de verificación de valores vacíos

En la función perform(), utilizada para manejar llamadas remotas, la clave api_key no está configurada correctamente. Si esta clave está vacía, un atacante puede autenticarse utilizando un token que coincida con el valor hash vacío, otorgándole acceso para realizar acciones críticas.

Cronología de divulgación

  • 30 de octubre de 2024: Wordfence recibe la primera notificación y valida el exploit.
  • 1 de noviembre de 2024: CleanTalk lanza un parche parcial.
  • 4 de noviembre de 2024: Wordfence identifica la segunda vulnerabilidad.
  • 14 de noviembre de 2024: CleanTalk lanza el parche completo con la versión 6.45.
  • 29 de noviembre y 4 de diciembre de 2024: Los usuarios de la versión gratuita de Wordfence reciben protección.

Conclusión

La rápida respuesta de CleanTalk y el equipo de Wordfence han mitigado los riesgos asociados a estas vulnerabilidades críticas. Sin embargo, los usuarios deben tomar acción inmediata y actualizar el plugin a la versión más reciente para garantizar la seguridad de sus sitios.

Si conoces a alguien que use este plugin en su sitio, comparte esta información para ayudarles a protegerse. La seguridad de tu sitio depende de mantener tus plugins actualizados y de implementar soluciones de seguridad robustas como Wordfence.

admin

Abrir chat
Hola 👋
¿En qué podemos ayudarte?