Plugin WordPress per widget crittografici contrassegnato come rischio “critico” per la sicurezza informatica
Ieri un plug-in widget crittografico per il sistema di gestione dei contenuti Web WordPress è stato definito un "rischio critico per la sicurezza informatica".
Un bollettino sulla sicurezza rilasciato dalla Cyber Security Agency di Singapore (CSA) ha rilevato che un plugin, chiamato "The Cryptocurrency Widgets - Price Ticker & Coins List" è stato identificato come un rischio per la sicurezza informatica e potrebbe essere potenzialmente sfruttato per estrarre informazioni sensibili.
Il crypto widget ha ottenuto un punteggio base di 9,8/10, collocandolo nel gruppo di vulnerabilità “critiche” che il CSA utilizza per riferirsi alle vulnerabilità con un punteggio minimo di 9/10.
Il National Vulnerability Database (NVD), l'archivio del governo degli Stati Uniti per i dati di gestione delle vulnerabilità basati su standard, ha affermato che il plugin crittografico di WordPress è suscettibile all'SQL Injection attraverso il parametro "coinslist" nelle versioni dalla 2.0 alla 2.6.5.
Questa vulnerabilità deriva da un'escape insufficiente del parametro fornito dall'utente e da una preparazione inadeguata della query SQL esistente. Ha consentito l'estrazione di informazioni sensibili dal database, consentendo agli aggressori non autenticati di aggiungere ulteriori query in linguaggio strutturato a quelle esistenti.
Secondo la società di sicurezza CVE Program, il widget è stato fornito da un fornitore identificato come "narinder-singh" e le versioni dalla 2.0 alla 2.6.5 sono state identificate come contenenti la vulnerabilità.