Агентство кібербезпеки (CSA) Сінгапуру підкреслило, що плагін віджетів криптовалюти для платформи веб-розробки WordPress містить уразливість, яку можна використовувати для вилучення конфіденційної інформації.
У бюлетені безпеки, опублікованому Сінгапурською групою реагування на надзвичайні ситуації в кібернетичному середовищі (SingCERT), було попереджено про плагін під назвою «The Cryptocurrency Widgets – Price Ticker & Coins List», позначаючи його як критичну вразливість.
Як показано вище, криптовалютний віджет отримав базову оцінку 9,8/10, поставивши його до «критичного», найвищого спектру вразливостей.
Національна база даних про вразливості (NVD) — урядове сховище стандартизованих даних керування вразливістю США — пояснила, що плагін для криптовалюти WordPress «вразливий до впровадження SQL через параметр «coinslist» у версіях 2.0–2.6.5 через недостатнє екранування нанаданий користувачем параметр і відсутність достатньої підготовки щодо існуючого SQL-запиту».
Зазначена вразливість дозволяє витягувати конфіденційну інформацію з бази даних, дозволяючи неавтентифікованим зловмисникам додавати додаткові SQL-запити до вже існуючих запитів.
За даними охоронної фірми CVE Program, віджет надав постачальник на ім’я «narinder-singh», а версії від 2.0 до 2.6.5 містять уразливість.
За темою: недолік банкомату Bitcoin міг дати хакерам «повний контроль»
9 грудня NVD позначив написи Bitcoin (BTC) як загрозу кібербезпеці.
Відповідно до записів бази даних, обмеження носія даних можна обійти, маскуючи дані як код у деяких версіях Bitcoin Core і Bitcoin Knots. «Як використано в дикій природі Inscriptions у 2022 та 2023 роках», — йдеться в документі.
На веб-сайті NVD нещодавня публікація розробника Bitcoin Core Luke Dashjr на X (раніше Twitter) представлена як інформаційний ресурс. Dashjr стверджує, що написи використовують уразливість Bitcoin Core для спаму в мережі. «Я припускаю, що це як отримання небажаної пошти, яку вам доводиться щодня переглядати, щоб знайти ті, які є вашими контактами. Це уповільнює процес», — написав користувач в обговоренні.