La CSA de Singapur señala el plugin de criptomonedas en WordPress como una amenaza de ciberseguridad
Summary:
La Agencia de Seguridad Cibernética (CSA) de Singapur ha advertido que un complemento de widget de criptomonedas para WordPress, 'The Cryptocurrency Widgets – Price Ticker & Coins List', contiene una falla crítica. Esta vulnerabilidad, identificada por el Equipo de Respuesta a Emergencias Cibernéticas de Singapur (SingCERT), podría ser explotada para extraer información confidencial. El complemento fue suministrado por un proveedor llamado 'narinder-singh', con las versiones 2.0 a 2.6.5 identificadas como vulnerables. Este informe sigue a una alerta anterior en diciembre, cuando la Base de Datos Nacional de Vulnerabilidades marcó las inscripciones de Bitcoin como un riesgo de ciberseguridad.
Se ha descubierto una falla en un widget de criptomonedas utilizado en WordPress, una popular plataforma de desarrollo web, según la Agencia de Seguridad Cibernética de Singapur (CSA). Su Equipo de Respuesta a Emergencias Cibernéticas, SingCERT, emitió una advertencia tras el descubrimiento. El widget se conoce con el nombre de 'The Cryptocurrency Widgets – Price Ticker & Coins List'. Una vulnerabilidad crítica en este plugin podría permitir la extracción de datos confidenciales.
El informe de SingCERT afirma que esta vulnerabilidad recibió una calificación de gravedad de 9,8/10, lo que la sitúa en la categoría de "crítica". Según la Base de Datos Nacional de Vulnerabilidades (NVD), el registro oficial de datos de gestión de vulnerabilidades del gobierno de EE. UU., este complemento de criptomoneda de WordPress podría explotarse a través de SQL Injection. La vulnerabilidad específica de las versiones 2.0 a 2.6.5 del plugin surge de un mal manejo de los parámetros proporcionados por el usuario.
La falla permite a los atacantes no autenticados manipular consultas SQL, lo que podría acceder a datos de gran alcance desde el sistema. Los informes de CVE, una organización de ciberseguridad, señalan a un proveedor con el nombre de 'narinder-singh' como el proveedor de las versiones afectadas del widget.
Hacia finales del año pasado, la NVD había destacado las inscripciones de Bitcoin como un riesgo de ciberseguridad. Según sus registros, un límite de portador de datos particular podría eludirse en ciertas versiones de Bitcoin Core y Bitcoin Knots, lo que representa una amenaza para la seguridad. Según los informes, las inscripciones explotaron esta vulnerabilidad varias veces durante 2022 y 2023.
El desarrollador de Bitcoin Core, Luke Dashjr, llamó la atención sobre el mismo problema, sugiriendo que estas inscripciones estaban aprovechando una vulnerabilidad en Bitcoin Core para enviar spam a la red. Comparó el efecto con examinar montones de correo basura a diario, lo que ralentiza significativamente el proceso para el usuario.
Published At
2/8/2024 9:32:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.