Плагин Cryptocurrency Widgets для WordPress может привести к утечке конфиденциальной информации
Агентство кибербезопасности Сингапура (CSA) подчеркнуло, что плагин виджета криптовалюты для платформы веб-разработки WordPress содержит уязвимость, которую можно использовать для извлечения конфиденциальной информации.
Бюллетень по безопасности, выпущенный Сингапурской группой реагирования на киберчрезвычайные ситуации (SingCERT), предупредил о плагине под названием «Cryptocurrency Widgets — Price Ticker & Coins List», подчеркнув наличие в нем критических уязвимостей.
Бюллетень по безопасности SingCERT обобщает список уязвимостей в крипто-виджете WordPress. Источник: csa.gov.sg.
Как показано выше, криптовиджет получил базовую оценку 9,8 из 10, что соответствует уровню «критического», что является самым высоким показателем в спектре уязвимостей.
Национальная база данных уязвимостей (NVD) — правительственный репозиторий данных управления уязвимостями на основе стандартов — объяснила, что криптографический плагин WordPress «уязвим для SQL-инъекции через параметр «coinslist» в версиях 2.0–2.6.5 из-за недостаточного экранирования пользовательского параметра и недостаточной подготовки существующего SQL-запроса».
Виджет WordPress «Cryptocurrency Widgets — Price Ticker & Coins List» — угроза безопасности. Источник: nvd.nist.gov.
Указанная уязвимость позволяет извлекать конфиденциальную информацию из базы данных, позволяя неаутентифицированным злоумышленникам добавлять дополнительные запросы языка структурированных запросов (SQL) к уже существующим запросам.
По данным компании безопасности CVE Program, виджет был предоставлен поставщиком под названием «narinder-singh», а версии с 2.0 по 2.6.5 содержали уязвимость.
9 декабря 2023 года NVD отметило надписи Биткоин, известные как ординалы, как угрозу кибербезопасности.
Согласно записям базы данных, ограничение носителя данных можно обойти, замаскировав данные под код в некоторых версиях Bitcoin Core и Bitcoin Knots, — говорится в документе «Как эксплуатировалось Inscriptions в 2022 и 2023 годах».
Уязвимость Биткоина указана в системе общих уязвимостей и рисков (CVE). Источник: отчеты CVE.
На веб-сайте NVD в качестве информационного ресурса размещена недавняя публикация X от разработчика Bitcoin Core Люка Дашджра. Dashjr утверждает, что надписи используют уязвимость Bitcoin Core для рассылки спама в сети.
«Думаю, это похоже на получение нежелательной почты, которую вам приходится просматривать каждый день, чтобы найти тех, кто входит в ваши контакты. Это замедляет процесс», — написал пользователь в обсуждении.
