Cabecera-v2-web.jpg

Vulnerabilidad de inyección SQL parcheada en el complemento CleanTalk AntiSpam.


11/05/2021

La vulnerabilidad de inyección de SQL descubierta en un complemento de WordPress llamado “Protección contra correo no deseado, AntiSpam, FireWall de CleanTalk” podría exponer los correos electrónicos de los usuarios, contraseñas, datos de tarjetas de crédito y otra información confidencial a un atacante no autenticado.
La protección contra correo no deseado, AntiSpam, FireWall de CleanTalk está instalada en más de 100.000 sitios y se utiliza principalmente para eliminar el correo no deseado y los comentarios basura en los foros de discusión de sitios web.



Producto y versión afectada:
Spam protection, AntiSpam, FireWall CleanTalk, versiones anteriores a la 5.153.4.


A continuación se describe la vulnerabilidad de severidad alta con su respectivo identificador.


El CVE-2021-24295 de severidad alta con calificación 7.5, que afecta al plugin Spam protection, AntiSpam, FireWall, desarrollado por la compañía CleanTalk.


Recomendaciones
Actualizar la versión parcheada del complemento, 5.153.4 o a la última versión del complemento, 5.157.2 al momento de escribir este artículo.


Referencias
https://www.wordfence.com/blog/2021/05/sql-injecti...
https://threatpost.com/anti-spam-wordpress-plugin-...
https://wordpress.org/plugins/cleantalk-spam-prote...
https://unaaldia.hispasec.com/2021/05/vulnerabilid...


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11