ثغرة أمنية في مكون CleanTalk WordPress الإضافي تهدد ما يصل إلى 200 ألف موقع

تم إصدار تحذير بشأن ثغرة أمنية خطيرة تم تصنيفها 9.8/10 في البرنامج الإضافي CleanTalk Antispam WordPress، المثبت في أكثر من 200000 موقع ويب. تمكن الثغرة الأمنية المهاجمين غير المصادقين من تثبيت المكونات الإضافية الضعيفة التي يمكن استخدامها بعد ذلك لشن هجمات تنفيذ التعليمات البرمجية عن بعد.

CleanTalk البرنامج المساعد لمكافحة البريد العشوائي

يعد البرنامج الإضافي CleanTalk Antispam عبارة عن برنامج قائم على الاشتراك كخدمة تحمي مواقع الويب من إجراءات المستخدم الزائفة مثل اشتراكات البريد العشوائي والتسجيلات ورسائل البريد الإلكتروني النموذجية، بالإضافة إلى جدار حماية لحظر الروبوتات السيئة.

نظرًا لأنه مكون إضافي قائم على الاشتراك، فإنه يعتمد على واجهة برمجة تطبيقات صالحة للوصول إلى خوادم CleanTalk وهذا هو الجزء من المكون الإضافي حيث تم اكتشاف الخلل الذي مكّن الثغرة الأمنية.

الثغرة الأمنية في البرنامج المساعد CleanTalk CVE-2026-1490

يحتوي البرنامج المساعد على وظيفة WordPress التي تتحقق مما إذا كان يتم استخدام مفتاح API صالح للاتصال بخوادم CleanTalk. وظيفة WordPress هي كود PHP الذي يؤدي مهمة محددة.

في هذه الحالة تحديدًا، إذا لم يتمكن المكون الإضافي من التحقق من صحة الاتصال بخوادم CleanTalk بسبب وجود مفتاح API غير صالح، فإنه يعتمد على وظيفة checkWithoutToken للتحقق من الطلبات “الموثوقة”.

المشكلة هي أن وظيفة checkWithoutToken لا تتحقق بشكل صحيح من هوية الطالب. يستطيع المهاجم تحريف هويته على أنها قادمة من مجال cleantalk.org ثم شن هجماته. وبالتالي، تؤثر مشكلة عدم الحصانة هذه فقط على المكونات الإضافية التي لا تحتوي على مفتاح API صالح.

يصف تقرير Wordfence الثغرة الأمنية:

“الحماية من البريد العشوائي ومكافحة البريد العشوائي وجدار الحماية من البرنامج الإضافي CleanTalk لـ WordPress عرضة للتثبيت التعسفي غير المصرح به للمكون الإضافي بسبب تجاوز الترخيص عبر انتحال DNS العكسي (سجل PTR) على وظيفة ‘checkWithoutToken’…”

الإجراء الموصى به

تؤثر الثغرة الأمنية على إصدارات المكون الإضافي CleanTalk حتى الإصدار 6.71. يوصي Wordfence المستخدمين بتحديث عمليات التثبيت الخاصة بهم إلى الإصدار الأحدث وقت كتابة هذا التقرير، الإصدار 6.72.