WordPressのCleanTalk Spam Protectionプラグインの重大な脆弱性により、攻撃者は認可をバイパスしてサイトを乗っ取ることができます。
CVE-2026-1490として追跡されているこの欠陥は、スパムフィルタリング用にプラグインを使用している数千のWordPressインストールに影響を与えます。
CVSS スコア 9.8 で、認証されていない攻撃者が任意のプラグインをインストールしてリモートコード実行の可能性を秘めた緊急のリスクをもたらします。
問題はプラグインの checkWithoutToken 関数にあります。このルーチンは、暗号化トークンなどのセキュアな方法の代わりに、逆引きDNS (PTR) レコードに依存してリクエストを検証します。
攻撃者はPTRレコードをスプーフィングしてCleanTalkの信頼できるサーバからのリクエストを模倣することでこれを悪用します。認証トークンは不要であり、攻撃は簡単です。
悪用されると、攻撃者は完全な管理者権限を得ます。彼らはWordPressリポジトリから既知の欠陥やバックドアを含むプラグインをインストールできます。
これはリモートコード実行 (RCE)、ファイル変更、データベース窃盗、永続的なアクセスへの道を開きます。例えば、悪意のあるプラグインはWebシェルをアップロードしたりユーザーデータを流出させる可能性があります。
悪用には重要な条件があります。CleanTalkプラグインは、無効または欠落したAPIキーを持つWordPressサイトでアクティブである必要があります。
これは開発環境、失効したサブスクリプション、または放置されたサイトに大きな影響を与えます。プラグインが更新なしで残っているシナリオです。攻撃の複雑さは低く、ユーザーの操作は不要であり、脅威を増幅します。
セキュリティ研究者のNguyen Ngoc Duc (duc193) が問題を発見し、2026年2月14日に開示しました。
CleanTalkはバージョン 6.72 で、PTRレコードを超えた検証を強化することで修正しました。WordPressの管理者はプラグインのバージョンをすぐに確認して更新する必要があります。
無効なAPIキーを持つサイトは最も高いリスクに直面しています。パッチの適用が可能でない場合はプラグインを無効にするか、キーを更新してください。
この欠陥は重要な教訓を強調しています。認可のためにDNS単独を信頼してはいけません。WordPressユーザーはプラグインを定期的に監査し、自動更新を有効にし、無効なAPI状態を監視する必要があります。攻撃者は簡単な標的をスキャンしているため、迅速な対応は乗っ取りを防ぎます。
翻訳元: https://cyberpress.org/cleantalk-plugin-flaw/