Accueil SEO technique Vulnérabilité critique du plugin CleanTalk WordPress : jusqu’à 200 000 sites concernés
SEO technique

Vulnérabilité critique du plugin CleanTalk WordPress : jusqu’à 200 000 sites concernés

écrit par Jordan Belly 28 vues
Faille critique

Une faille critique (CVE-2026-1490, 9,8/10) du plugin WordPress CleanTalk, installé sur plus de 200 000 sites, peut permettre à des attaquants non authentifiés d’installer des plugins et mener à une exécution de code à distance, d’où l’urgence de mettre à jour en 6.72.

Une faille critique notée 9,8/10 affecte le plugin CleanTalk Antispam pour WordPress. Installé sur plus de 200 000 sites, le plugin présente une vulnérabilité pouvant permettre à un attaquant non authentifié d’installer des extensions vulnérables, puis d’exécuter du code à distance.

CleanTalk Antispam : rappel du fonctionnement

Le plugin CleanTalk Antispam repose sur un modèle SaaS par abonnement. Il protège les sites contre :

  • les inscriptions frauduleuses,
  • les enregistrements automatisés,
  • les soumissions de formulaires indésirables,
  • certains bots via un pare-feu intégré.

Son fonctionnement dépend d’une clé API valide permettant de communiquer avec les serveurs de CleanTalk. C’est précisément dans ce mécanisme de vérification qu’a été identifiée la faille.

CVE-2026-1490 : contournement d’autorisation

La vulnérabilité, référencée CVE-2026-1490, concerne les versions jusqu’à la 6.71 incluse.

Le plugin intègre une fonction WordPress chargée de vérifier la validité de la clé API lors de la communication avec les serveurs CleanTalk. Si cette validation échoue, le système s’appuie sur une fonction alternative nommée checkWithoutToken afin de vérifier si la requête provient d’une source dite “de confiance”.

Cette fonction ne vérifie pas correctement l’identité du demandeur.

Selon l’avis publié par Wordfence, la faille repose sur un contournement d’autorisation via une falsification d’enregistrement DNS inverse (PTR). Un attaquant peut se faire passer pour le domaine cleantalk.org et exploiter cette faiblesse.

Conséquence possible :

  • installation arbitraire de plugins,
  • exploitation ultérieure pour exécution de code à distance (Remote Code Execution).

La vulnérabilité concerne uniquement les installations ne disposant pas d’une clé API valide.

Mesure recommandée

Les versions du plugin jusqu’à 6.71 sont affectées. La recommandation consiste donc à mettre à jour vers la version 6.72 ou toute version ultérieure disponible.

Les administrateurs de sites utilisant CleanTalk sont invités à vérifier la version installée et à appliquer la mise à jour sans délai.

Jordan Belly

Rédacteur web SEO à Toulouse, j’interviens depuis plus de dix ans sur le contenu éditorial : audits, structuration de pages et rédaction optimisée avec une approche éthique et durable. Je suis de près les évolutions de Google et des LLM pour les rendre actionnables, tout en continuant à écrire pour la presse spécialisée (Système D, Le Particulier, UFC Que Choisir…) et en tant qu’auteur du Guide du rédacteur web (Edi.Pro).

À découvrir également

Canonical : quand Google retient une autre URL

Cloudflare lance “Markdown for Agents” pour servir les...

Google précise les limites de taille des fichiers...

Leak Content Warehouse : comprendre CompositeDoc, NavBoost et...

ChatGPT et Perplexity lisent-ils le JSON-LD comme du...

Google balaie l’idée de pages Markdown dédiées aux...

WordPress : une faille à 8,1/10 vise une...

Google corrige le délai du rapport “Indexation des...

SEO : Google déconseille d’utiliser JavaScript pour retirer...

Préparer un site WordPress pour ranker : les...

Laisser un commentaire

Enregistrer mon nom, mon e-mail et mon site dans ce navigateur pour mon prochain commentaire.