Duas falhas críticas foram descobertas no plugin Spam Protection, Anti-Spam e FireWall do WordPress, ameaçando mais de 200 mil sites. Identificadas como CVE-2024-10542 e CVE-2024-10781, ambas possuem pontuação CVSS de 9.8, indicando gravidade máxima. Essas vulnerabilidades permitem que atacantes não autenticados instalem e ativem plugins maliciosos, possibilitando a execução remota de código.
O plugin, criado pela CleanTalk, é amplamente utilizado para proteger sites contra spam em comentários, registros e enquetes. As falhas exploram brechas de autorização, permitindo a instalação arbitrária de plugins sem validação. Isso amplia os riscos, já que plugins vulneráveis também podem ser ativados.
As vulnerabilidades foram corrigidas nas versões 6.44 e 6.45. No entanto, sites que ainda utilizam versões anteriores permanecem em risco. Caso exploradas, essas falhas podem dar controle total aos atacantes, incluindo a desativação ou desinstalação de plugins importantes. A CleanTalk recomenda que os usuários atualizem o plugin imediatamente. Com mais de 200 mil sites potencialmente afetados, manter plugins atualizados é essencial para proteger administradores e visitantes contra ameaças sofisticadas.