El complemento Crypto Widget de WordPress está marcado como riesgo de ciberseguridad "crítico"
Un complemento de widget criptográfico para el sistema de gestión de contenido web WordPress fue nombrado ayer como un "riesgo crítico de ciberseguridad".
Un boletín de seguridad publicado por la Agencia de Seguridad Cibernética de Singapur (CSA) señaló que un complemento, llamado "The Cryptocurrency Widgets - Price Ticker & Coins List" ha sido identificado como un riesgo de ciberseguridad y podría potencialmente explotarse para extraer información confidencial.
El widget criptográfico obtuvo una puntuación base de 9,8/10, colocándolo en el grupo de vulnerabilidades “críticas” que utiliza la CSA para referirse a vulnerabilidades con una puntuación mínima de 9/10.
La Base de Datos Nacional de Vulnerabilidad (NVD), el repositorio del gobierno de EE. UU. para datos de gestión de vulnerabilidades basados en estándares, dijo que el complemento criptográfico de WordPress es susceptible a la inyección SQL a través del parámetro "coinslist" en las versiones 2.0 a 2.6.5.
Esta vulnerabilidad surgió de un escape insuficiente en el parámetro proporcionado por el usuario y de una preparación inadecuada en la consulta SQL existente. Permitió la extracción de información confidencial de la base de datos, lo que permitió a atacantes no autenticados agregar consultas de lenguaje estructurado adicionales a las existentes.
Según la empresa de seguridad CVE Program, el widget fue suministrado por un proveedor identificado como “narinder-singh” y se identificó que las versiones 2.0 a 2.6.5 contenían la vulnerabilidad.
