CSA Сингапура пометил криптоплагин на WordPress как угрозу кибербезопасности
Summary:
Агентство кибербезопасности (CSA) Сингапура предупредило, что плагин криптовалютного виджета для WordPress «The Cryptocurrency Widgets — Price Ticker & Coins List» содержит критический недостаток. Эта уязвимость, выявленная Сингапурской группой реагирования на чрезвычайные ситуации в киберпространстве (SingCERT), может быть использована для извлечения конфиденциальной информации. Плагин был предоставлен поставщиком под названием «narinder-singh» с версиями от 2.0 до 2.6.5, идентифицированными как уязвимые. Этот отчет следует за предыдущим предупреждением в декабре, когда Национальная база данных уязвимостей пометила надписи биткоина как угрозу кибербезопасности.
По данным Агентства кибербезопасности Сингапура (CSA), в криптовалютном виджете, используемом на WordPress, популярной платформе веб-разработки, была обнаружена уязвимость. Их группа реагирования на чрезвычайные ситуации в киберпространстве, SingCERT, выпустила предупреждение после обнаружения. Виджет называется «The Cryptocurrency Widgets – Price Ticker & Coins List». Критическая уязвимость в этом плагине может позволить извлечь конфиденциальные данные.
В отчете SingCERT говорится, что этой уязвимости был присвоен рейтинг опасности 9,8/10, что помещает ее в категорию «критическая». Согласно Национальной базе данных уязвимостей (NVD), официальной записи правительства США об управлении уязвимостями, этот криптовалютный плагин WordPress может быть использован с помощью SQL-инъекций. Уязвимость, характерная для версий плагина от 2.0 до 2.6.5, возникает из-за плохой обработки параметров, предоставленных пользователем.
Уязвимость позволяет злоумышленникам, не прошедшим аутентификацию, манипулировать SQL-запросами, потенциально получая доступ к глубоким данным из системы. Отчеты CVE, организации, занимающейся кибербезопасностью, указывают на поставщика по имени «narinder-singh» как на поставщика затронутых версий виджета.
К концу прошлого года NVD выделил надписи биткоина как угрозу кибербезопасности. Согласно их записям, определенный лимит носителей данных может быть обойден в определенных версиях Bitcoin Core и Bitcoin Knots, что создает угрозу безопасности. Сообщается, что Inscriptions эксплуатировала эту уязвимость несколько раз в течение 2022 и 2023 годов.
Разработчик Bitcoin Core Люк Дашджр обратил внимание на ту же проблему, предположив, что эти надписи используют уязвимость в Bitcoin Core для рассылки спама в сети. Он сравнил этот эффект с ежедневным просеиванием кучи нежелательной почты, что значительно замедляет процесс для пользователя.
Published At
2/8/2024 9:32:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.