Цей плагін віджетів криптовалюти WordPress може витікати конфіденційну інформацію

Автор Victoria Lyapota На читання 2 хв Переглядів 9 Опубліковано 08.02.2024 Оновлено 08.02.2024

Агентство кібербезпеки (CSA) Сінгапуру підкреслило, що плагін віджетів криптовалюти для платформи веб-розробки WordPress містить уразливість, яку можна використовувати для вилучення конфіденційної інформації.

У бюлетені безпеки, опублікованому Сінгапурською групою реагування на надзвичайні ситуації в кібернетичному середовищі (SingCERT), було попереджено про плагін під назвою «The Cryptocurrency Widgets – Price Ticker & Coins List», позначаючи його як критичну вразливість.

Бюлетень безпеки SingCERT підсумовує список уразливостей у віджеті криптовалюти WordPress. Джерело: csa.gov.sg

Як показано вище, криптовалютний віджет отримав базову оцінку 9,8/10, поставивши його до «критичного», найвищого спектру вразливостей.

Національна база даних про вразливості (NVD) — урядове сховище стандартизованих даних керування вразливістю США — пояснила, що плагін для криптовалюти WordPress «вразливий до впровадження SQL через параметр «coinslist» у версіях 2.0–2.6.5 через недостатнє екранування нанаданий користувачем параметр і відсутність достатньої підготовки щодо існуючого SQL-запиту».

Віджет WordPress «Cryptocurrency Widgets – Price Ticker & Coins List plugin» загроза безпеці. Джерело: nvd.nist.gov

Зазначена вразливість дозволяє витягувати конфіденційну інформацію з бази даних, дозволяючи неавтентифікованим зловмисникам додавати додаткові SQL-запити до вже існуючих запитів.

За даними охоронної фірми CVE Program, віджет надав постачальник на ім’я «narinder-singh», а версії від 2.0 до 2.6.5 містять уразливість.

За темою: недолік банкомату Bitcoin міг дати хакерам «повний контроль»

9 грудня NVD позначив написи Bitcoin (BTC) як загрозу кібербезпеці.

Відповідно до записів бази даних, обмеження носія даних можна обійти, маскуючи дані як код у деяких версіях Bitcoin Core і Bitcoin Knots. «Як використано в дикій природі Inscriptions у 2022 та 2023 роках», — йдеться в документі.

Уразливість біткойна внесена до списку загальних вразливостей і вразливостей (CVE). Джерело: CVE Records.

На веб-сайті NVD нещодавня публікація розробника Bitcoin Core Luke Dashjr на X (раніше Twitter) представлена як інформаційний ресурс. Dashjr стверджує, що написи використовують уразливість Bitcoin Core для спаму в мережі. «Я припускаю, що це як отримання небажаної пошти, яку вам доводиться щодня переглядати, щоб знайти ті, які є вашими контактами. Це уповільнює процес», — написав користувач в обговоренні.