200 000 сайтов под ударом: в CleanTalk нашли критическую дыру для удаленного взлома
В антиспам‑плагине CleanTalk для WordPress обнаружена критическая уязвимость CVE-2026-1490 с рейтингом 9.8 из 10: она позволяет неавторизованным атакующим устанавливать вредоносные плагины и запускать удаленный код.
Уязвимость CVE-2026-1490 позволяет хакерам без авторизации устанавливать вредоносные плагины и запускать удаленное выполнение кода, получая полный контроль над сайтом.
Проблема возникает в функции проверки подлинности запросов: если у плагина нет валидного API‑ключа для связи с серверами CleanTalk, система переключается на резервную функцию checkWithoutToken для проверки «доверенных» запросов. Эта функция не проверяет личность отправителя должным образом, и атакующий может подменить свой DNS‑адрес (PTR record spoofing), выдавая себя за домен cleantalk.org, после чего получает доступ к установке произвольных плагинов.
Уязвимость затрагивает версии плагина до 6.71 включительно. Wordfence рекомендует немедленно обновиться до версии 6.72, которая закрывает дыру. Особенно уязвимы сайты с неактивными или просроченными подписками CleanTalk, где плагин продолжает работать без валидного API‑ключа и полагается на небезопасную функцию проверки.
Критическая дыра в CleanTalk — прямой риск для тех, кто льет трафик на собственные лендинги или партнерские сайты на WordPress: если ваш сайт использует этот плагин и он не обновлен до версии 6.72, атакующие могут захватить контроль, установить вредоносный код, перенаправить трафик на свои офферы или вообще уронить его целиком.
Материалы по теме
Вставить свои 5 копеек: