Crypto Widget WordPress 插件被标记为“严重”网络安全风险
昨天,用于网络内容管理系统 WordPress 的加密小部件插件被命名为“严重网络安全风险”。
新加坡网络安全局 (CSA) 发布的一份安全公告指出,一个名为“加密货币小工具 - 价格行情和硬币列表”的插件已被确定为网络安全风险,可能会被用来提取敏感信息。
该加密小部件获得了 9.8/10 的基本分数,将其置于 CSA 用来指代最低分数为 9/10 的漏洞的“关键”漏洞组中。
美国政府基于标准的漏洞管理数据存储库国家漏洞数据库 (NVD) 表示,WordPress 加密插件很容易通过 2.0 至 2.6.5 版本中的“coinslist”参数受到 SQL 注入。
该漏洞是由于对用户提供的参数的转义不充分以及对现有 SQL 查询的准备不充分而引起的。它允许从数据库中提取敏感信息,使未经身份验证的攻击者能够在现有查询的基础上添加额外的结构化语言查询。
根据安全公司 CVE Program 的说法,该小部件是由名为“narinder-singh”的供应商提供的,并且版本 2.0 到 2.6.5 被确定包含该漏洞。
