CSA de Cingapura sinaliza plugin de criptografia no WordPress como uma ameaça à segurança cibernética
Summary:
A Agência de Segurança Cibernética (CSA) de Cingapura alertou que um plugin de widget de criptomoeda para WordPress, 'The Cryptocurrency Widgets – Price Ticker & Coins List', contém uma falha crítica. Essa vulnerabilidade, identificada pela Singapore Cyber Emergency Response Team (SingCERT), pode ser explorada para extrair informações confidenciais. O plugin foi fornecido por um fornecedor chamado 'narinder-singh', com as versões 2.0 a 2.6.5 identificadas como vulneráveis. Este relatório segue um alerta anterior em dezembro, quando o National Vulnerability Database sinalizou as inscrições do Bitcoin como um risco de segurança cibernética.
Uma falha foi descoberta em um widget de criptomoeda usado no WordPress, uma popular plataforma de desenvolvimento web, de acordo com a Agência de Segurança Cibernética de Cingapura (CSA). Sua Equipe de Resposta a Emergências Cibernéticas, SingCERT, emitiu um alerta após a descoberta. O widget atende pelo nome de 'The Cryptocurrency Widgets – Price Ticker & Coins List'. Uma vulnerabilidade crítica neste plugin pode permitir a extração de dados confidenciais.
O relatório do SingCERT afirma que esta vulnerabilidade recebeu uma classificação de gravidade de 9,8/10, colocando-a na categoria "crítica". De acordo com o National Vulnerability Database (NVD), o registro oficial do governo dos EUA de dados de gerenciamento de vulnerabilidade, este plugin de criptomoeda WordPress poderia ser explorado por meio do SQL Injection. A vulnerabilidade específica para as versões 2.0 a 2.6.5 do plugin surge do mau manuseio dos parâmetros fornecidos pelo usuário.
A falha permite que invasores não autenticados manipulem consultas SQL, potencialmente acessando dados de profundo alcance do sistema. Relatórios da CVE, uma organização de segurança cibernética, apontam um fornecedor chamado 'narinder-singh' como o provedor de versões afetadas do widget.
No final do ano passado, o NVD havia destacado as inscrições do Bitcoin como um risco de segurança cibernética. De acordo com seus registros, um determinado limite de portador de dados poderia ser ignorado em certas versões do Bitcoin Core e Bitcoin Knots, representando assim uma ameaça à segurança. As inscrições teriam explorado essa vulnerabilidade várias vezes ao longo de 2022 e 2023.
O desenvolvedor do Bitcoin Core, Luke Dashjr, chamou a atenção para o mesmo problema, sugerindo que essas inscrições estavam aproveitando uma vulnerabilidade no Bitcoin Core para enviar spam à rede. Ele comparou o efeito a peneirar montes de lixo eletrônico diariamente, retardando significativamente o processo para o usuário.
Published At
2/8/2024 9:32:00 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.