La vulnerabilidad de inyección de SQL descubierta en un complemento de WordPress llamado “Protección contra correo no deseado, AntiSpam, FireWall de CleanTalk” podría exponer los correos electrónicos de los usuarios, contraseñas, datos de tarjetas de crédito y otra información confidencial a un atacante no autenticado.
La protección contra correo no deseado, AntiSpam, FireWall de CleanTalk está instalada en más de 100.000 sitios y se utiliza principalmente para eliminar el correo no deseado y los comentarios basura en los foros de discusión de sitios web.
Producto y versión afectada:
Spam protection, AntiSpam, FireWall CleanTalk, versiones anteriores a la 5.153.4.
A continuación se describe la vulnerabilidad de severidad alta con su respectivo identificador:
El CVE-2021-24295 de severidad alta con calificación 7.5, que afecta al plugin Spam protection, AntiSpam, FireWall, desarrollado por la compañía CleanTalk.
Recomendaciones:
Actualizar la versión parcheada del complemento, 5.153.4 o a la última versión del complemento, 5.157.2 al momento de escribir este artículo.
Referencias:
https://www.wordfence.com/blog/2021/05/sql-injecti…
https://threatpost.com/anti-spam-wordpress-plugin-…
https://wordpress.org/plugins/cleantalk-spam-prote…
https://unaaldia.hispasec.com/2021/05/vulnerabilid…