Безопасность

Плагин Cryptocurrency Widgets для WordPress может привести к утечке конфиденциальной информации

Агентство кибербезопасности Сингапура (CSA) подчеркнуло, что плагин виджета криптовалюты для платформы веб-разработки WordPress содержит уязвимость, которую можно использовать для извлечения конфиденциальной информации.

Бюллетень по безопасности, выпущенный Сингапурской группой реагирования на киберчрезвычайные ситуации (SingCERT), предупредил о плагине под названием «Cryptocurrency Widgets — Price Ticker & Coins List», подчеркнув наличие в нем критических уязвимостей.

Бюллетень по безопасности SingCERT обобщает список уязвимостей в крипто-виджете WordPress. Источник: csa.gov.sg.

Как показано выше, криптовиджет получил базовую оценку 9,8 из 10, что соответствует уровню «критического», что является самым высоким показателем в спектре уязвимостей.

Национальная база данных уязвимостей (NVD) — правительственный репозиторий данных управления уязвимостями на основе стандартов — объяснила, что криптографический плагин WordPress «уязвим для SQL-инъекции через параметр «coinslist» в версиях 2.0–2.6.5 из-за недостаточного экранирования пользовательского параметра и недостаточной подготовки существующего SQL-запроса».

Виджет WordPress «Cryptocurrency Widgets — Price Ticker & Coins List» — угроза безопасности. Источник: nvd.nist.gov.

Указанная уязвимость позволяет извлекать конфиденциальную информацию из базы данных, позволяя неаутентифицированным злоумышленникам добавлять дополнительные запросы языка структурированных запросов (SQL) к уже существующим запросам.

По данным компании безопасности CVE Program, виджет был предоставлен поставщиком под названием «narinder-singh», а версии с 2.0 по 2.6.5 содержали уязвимость.

9 декабря 2023 года NVD отметило надписи Биткоин, известные как ординалы, как угрозу кибербезопасности.

Согласно записям базы данных, ограничение носителя данных можно обойти, замаскировав данные под код в некоторых версиях Bitcoin Core и Bitcoin Knots, — говорится в документе «Как эксплуатировалось Inscriptions в 2022 и 2023 годах».

Уязвимость Биткоина указана в системе общих уязвимостей и рисков (CVE). Источник: отчеты CVE.

На веб-сайте NVD в качестве информационного ресурса размещена недавняя публикация X от разработчика Bitcoin Core Люка Дашджра. Dashjr утверждает, что надписи используют уязвимость Bitcoin Core для рассылки спама в сети.

«Думаю, это похоже на получение нежелательной почты, которую вам приходится просматривать каждый день, чтобы найти тех, кто входит в ваши контакты. Это замедляет процесс», — написал пользователь в обсуждении.

Источник

Click to rate this post!
[Total: 0 Average: 0]
Show More

Leave a Reply

Your email address will not be published. Required fields are marked *