Kritische Sicherheitslücke in WordPress-Plugin Spam protection, Honeypot, Anti-Spam
- Sicherheitshinweis
Zahlreiche Websites könnten weltweit von einer kritischen Schwachstelle im WordPress-Plugin „Spam protection, Honeypot, Anti-Spam“ betroffen sein. Ein abgesichertes Update ist verfügbar, das User zeitnah einspielen sollten.
© IB Photography - stock.adobe.com
Remote Code Execution möglich
Angreifende können sich über die Schwachstelle weitreichende Administratorrechte verschaffen. Dadurch ist es möglich, präparierte Plugins mit einer Backdoor zu installieren. Dies erlaubt unter anderem Folgendes:
- Remote Code Execution (RCE)
- Daten exfiltrieren
- Dateien manipulieren
- Persistenz auf der Website einrichten
Betroffen sind die Plugin-Versionen bis einschließlich 6.71. Hersteller des Plugins ist CleanTalk. Der Schwachstelle ist die CVE-Nummer CVE-2026-1490 (EUVD-2026-5835) und ein CVSS-Base-Score von 9.8 zugewiesen. Sie ermöglicht, die Authentifizierung zu umgehen.
Das Plugin ist laut Wordfence derzeit weltweit über 200.000 Mal installiert, so dass entsprechend viele Websites potenziell verwundbar sind.
Empfehlungen
- Aktualisieren Sie zeitnah das Plugin auf Version 6.72.
- Wenn eine Aktualisierung nicht möglich ist, deaktivieren Sie das Plugin oder erneuern Sie die API-Schlüssel.