Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / General / Vulnerabilidad SQL Injection parcheada en plugin AntiSpam de 100.000 WordPress

Vulnerabilidad SQL Injection parcheada en plugin AntiSpam de 100.000 WordPress

Por Leave a Comment

El equipo de Threat Intelligence de Wordfence descubrió recientemente una vulnerabilidad Time-Based Blind SQL Injection en un conocido plugin AntiSpam de WordPress, e inició su divulgación responsable para que fuera parcheada cuanto antes.

Spam protection, AntiSpam, FireWall por CleanTalk

Hablamos del plugin Spam protection, AntiSpam, FireWall, desarrollado por la compañía CleanTalk que, según el repositorio oficial de WordPress, se encuentra presente en más de 100.000 instalaciones activas del CMS, estando bastante bien valorado por los usuarios. Este complemento se usa como plugin antispam en comentarios, registros o pedidos, entre otras secciones, y soporta otros plugins como los populares Contact Fom 7, Ninja Form, Gravity Form, WooCommerce, MailChimp o JetPack.

Por otra parte, la vulnerabilidad detectada afecta a versiones anteriores a la 5.153.4, en la cual ya se encuentra corregida, y ha sido etiquetada como CVE-2021-24295 y catalogada como de riesgo alto. A través de la explotación de la misma, podría extraerse información sensible de la base de datos de un sitio web, incluidos los correos electrónicos y los ‘hashes’ de las contraseñas sin que se requiera iniciar sesión:

This exploit could be used by unauthenticated visitors to steal user email addresses, password hashes, and other sensitive information.

Equipo Threat Intelligence de Wordfence

Cabe destacar que el plugin antispam desarrollado por CleanTalk contaba ya en su código con medidas que dificultaban ataques de inyección SQL exitosos, como indican desde Wordfence, en cuyo blog se pueden conocer los detalles técnicos sobre este hallazgo. El error fue corregido en la versión 5.153.4 del plugin lanzada el 10 de Marzo, solo unos días después de que sus responsables fueran avisados por la compañía de seguridad.

Más información:
Spam protection, AntiSpam, FireWall by CleanTalk
https://wordpress.org/plugins/cleantalk-spam-protect/

SQL Injection Vulnerability Patched in CleanTalk AntiSpam Plugin
https://www.wordfence.com/blog/2021/05/sql-injection-vulnerability-patched-in-cleantalk-antispam-plugin/

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.