La CSA de Singapour signale le plugin crypto sur WordPress comme une menace de cybersécurité
Summary:
La Cyber Security Agency (CSA) de Singapour a averti qu’un plugin de widget de crypto-monnaie pour WordPress, « The Cryptocurrency Widgets – Price Ticker & Coins List », contient une faille critique. Cette vulnérabilité, identifiée par l’équipe d’intervention d’urgence cybernétique de Singapour (SingCERT), pourrait être exploitée pour extraire des informations sensibles. Le plugin a été fourni par un fournisseur nommé « narinder-singh », avec les versions 2.0 à 2.6.5 identifiées comme vulnérables. Ce rapport fait suite à une alerte précédente en décembre, lorsque la base de données nationale sur les vulnérabilités a signalé les inscriptions de Bitcoin comme un risque de cybersécurité.
Une faille a été découverte dans un widget de crypto-monnaie utilisé sur WordPress, une plate-forme de développement Web populaire, selon l’Agence de cybersécurité de Singapour (CSA). Leur équipe d’intervention d’urgence cybernétique, SingCERT, a émis un avertissement à la suite de la découverte. Le widget porte le nom de « The Cryptocurrency Widgets – Price Ticker & Coins List ». Une vulnérabilité critique dans ce plugin pourrait permettre l’extraction de données confidentielles.
Le rapport de SingCERT indique que cette vulnérabilité a reçu une note de gravité de 9,8/10, ce qui la place dans la catégorie « critique ». Selon la National Vulnerability Database (NVD), l’enregistrement officiel du gouvernement américain des données de gestion des vulnérabilités, ce plugin de crypto-monnaie WordPress pourrait être exploité par injection SQL. La vulnérabilité spécifique aux versions 2.0 à 2.6.5 du plugin provient d’une mauvaise gestion des paramètres fournis par l’utilisateur.
La faille permet à des attaquants non authentifiés de manipuler des requêtes SQL, ce qui leur permet d’accéder potentiellement à des données profondes du système. Les rapports de CVE, une organisation de cybersécurité, indiquent qu’un fournisseur du nom de « narinder-singh » est le fournisseur des versions affectées du widget.
Vers la fin de l’année dernière, le NVD avait mis en évidence les inscriptions de Bitcoin comme un risque de cybersécurité. Selon leurs dossiers, une limite particulière de support de données pourrait être contournée dans certaines versions de Bitcoin Core et Bitcoin Knots, ce qui constituerait une menace pour la sécurité. Inscriptions aurait exploité cette vulnérabilité à plusieurs reprises en 2022 et 2023.
Le développeur de Bitcoin Core, Luke Dashjr, a attiré l’attention sur le même problème, suggérant que ces inscriptions tiraient parti d’une vulnérabilité dans Bitcoin Core pour spammer le réseau. Il a comparé l’effet au fait de passer au crible des tas de courrier indésirable quotidiennement, ce qui ralentit considérablement le processus pour l’utilisateur.
Published At
2/8/2024 9:32:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.