Wtyczka Crypto Widget WordPress oznaczona jako „krytyczne” ryzyko cyberbezpieczeństwa
Wtyczka widżetu kryptograficznego do systemu zarządzania treścią WordPress została wczoraj uznana za „krytyczne ryzyko cyberbezpieczeństwa”.
Biuletyn bezpieczeństwa wydany przez Cyber Security Agency of Singapore (CSA) odnotował, że wtyczka o nazwie „The Cryptocurrency Widgets – Price Ticker & Coins List” została zidentyfikowana jako ryzyko cyberbezpieczeństwa i potencjalnie może zostać wykorzystana do wydobycia poufnych informacji.
Widżet kryptograficzny uzyskał wynik bazowy 9,8/10, co plasuje go w „krytycznej” grupie luk w zabezpieczeniach, których CSA używa do określania luk z minimalnym wynikiem 9/10.
National Vulnerability Database (NVD), rządowe repozytorium danych o zarządzaniu lukami w zabezpieczeniach opartych na standardach, poinformowało, że wtyczka kryptograficzna WordPress jest podatna na wstrzyknięcie kodu SQL za pośrednictwem parametru „coinslist” w wersjach od 2.0 do 2.6.5.
Ta luka wynikała z niewystarczającego ucieczki parametru dostarczonego przez użytkownika i nieodpowiedniego przygotowania istniejącego zapytania SQL. Umożliwiło to wyodrębnienie poufnych informacji z bazy danych, umożliwiając niezweryfikowanym atakującym dodanie dodatkowych zapytań w języku strukturalnym do istniejących.
Według firmy zajmującej się bezpieczeństwem CVE Program, widżet został dostarczony przez dostawcę zidentyfikowanego jako „narinder-singh”, a wersje od 2.0 do 2.6.5 zostały zidentyfikowane jako zawierające lukę.
