Плагін Crypto Widget WordPress позначено як «критичний» ризик для кібербезпеки
Крипто-віджет-плагін для системи керування веб-контентом WordPress вчора був названий «критичним ризиком для кібербезпеки».
У бюлетені безпеки, опублікованому Агентством кібербезпеки Сінгапуру (CSA), зазначено, що плагін під назвою «The Cryptocurrency Widgets – Price Ticker & Coins List» був ідентифікований як ризик кібербезпеки та потенційно може бути використаний для вилучення конфіденційної інформації.
Криптовіджет отримав базову оцінку 9,8/10, помістивши його в «критичну» групу вразливостей, яку CSA використовує для позначення вразливостей з мінімальною оцінкою 9/10.
Національна база даних про вразливості (NVD), урядове сховище даних про управління вразливостями на основі стандартів, заявила, що криптоплагін WordPress чутливий до SQL-ін’єкції через параметр «coinslist» у версіях 2.0 до 2.6.5.
Ця вразливість виникла внаслідок недостатнього екранування наданого користувачем параметра та неадекватної підготовки наявного SQL-запиту. Це дозволяло витягувати конфіденційну інформацію з бази даних, дозволяючи неавтентифікованим зловмисникам додавати додаткові структуровані мовні запити до існуючих.
За даними охоронної фірми CVE Program, віджет було надано постачальником під назвою «narinder-singh», а версії від 2.0 до 2.6.5 містять уразливість.
