CleanTalk Plugin for WordPress Exposes Sites to Authorization Bypass via Reverse DNS
2026/02/16 gbhackers — 人気の WordPress プラグイン CleanTalk Spam Protection に深刻な脆弱性 CVE-2026-1490 (CVSS:9.8) が発見された。この脆弱性を悪用する未認証の攻撃者は認可機構を回避し、任意のプラグインを対象となるサイトにインストールできる。その結果として、Web サイトが完全に乗っ取られる恐れがあるため、旧バージョンを利用している管理者にとって速やかにアップデートが必須となる。
この問題の中核は、プラグイン内の checkWithoutToken 関数にある。この関数は、受信リクエスト検証において Reverse DNS (PTR) 解決に不適切に依存している。
安全な環境では暗号トークンや厳格なサーバ側検証により、本人確認を行うべきである。しかし、この実装では、接続時に提供される DNS レコードを信頼している。
したがって、PTR レコードを偽装する攻撃者は、自身のリクエストを CleanTalk の正規サーバ由来であるかのように見せかけることが可能になる。
| CVE ID | CVSS Score | Description |
|---|---|---|
| CVE-2026-1490 | 9.8 (Critical) | Authorization Bypass via Reverse DNS (PTR record) Spoofing in CleanTalk Spam Protection leads to unauthenticated arbitrary plugin installation and potential RCE. |
この脆弱性の悪用に成功した攻撃者は、WordPress のインストールにおける重大な制御権を奪取できる。
具体的には、認可チェックを回避する未認証の攻撃者は、WordPress リポジトリ内の任意のプラグインのインストールと有効化が可能になる。それにより、リモートコード実行 (RCE) への足掛かりが引き起こされる。
攻撃者が可能にするアクションとしては、既知の脆弱性を持つプラグインや悪意あるツールを導入した上での、コマンド実行/ファイル改変/機密データベース情報の窃取などが挙げられる。
この脆弱性の悪用には、成立条件が存在する。CleanTalk プラグインがインストールされていて、API key が無効化されている WordPress サイトでのみ攻撃が可能となる。この状況は、開発環境や放置プロジェクトに加えて、サブスクリプション失効後も当該プラグインが有効化されているサイトで発生しやすい。
こうした制約があるが、攻撃の複雑性が低くユーザー操作を必要としないため、深刻度は Critical と評価されている。
この脆弱性は研究者 Nguyen Ngoc Duc (duc193) により発見され、2026年2月14日に公開された。
すでに CleanTalk 開発チームは、バージョン 6.72 をリリースし、この問題に対処している。管理者にとって必要なことは、インストール済みのバージョンの確認と、速やかなパッチの適用である。
脆弱性 CVE-2026-1490 (CVSS 9.8) は、CleanTalk Spam Protection の checkWithoutToken 関数が Reverse DNS (PTR) 情報を信頼して認証を行う実装に起因します。本来は、暗号トークンやサーバ側検証で確認すべきところを、偽装可能な DNS レコードに依存していた点が問題でした。その結果として、未認証の攻撃者であっても認可を回避し、任意の WordPress プラグインをインストール/有効化できる状態となります。特に API key が無効な環境で成立しやすく、RCE につながる危険性があるため、バージョン 6.72 への更新が必要です。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.