Crypto Widget WordPress 插件被標記爲“嚴重”網絡安全風險
昨天,用於網絡內容管理系統 WordPress 的加密小部件插件被命名爲“嚴重網絡安全風險”。
新加坡網絡安全局 (CSA) 發佈的一份安全公告指出,一個名爲“加密貨幣小工具 - 價格行情和硬幣列表”的插件已被確定爲網絡安全風險,可能會被用來提取敏感信息。
該加密小部件獲得了 9.8/10 的基本分數,將其置於 CSA 用來指代最低分數爲 9/10 的漏洞的“關鍵”漏洞組中。
美國政府基於標準的漏洞管理數據存儲庫國家漏洞數據庫 (NVD) 表示,WordPress 加密插件很容易通過 2.0 至 2.6.5 版本中的“coinslist”參數受到 SQL 注入。
該漏洞是由於對用戶提供的參數的轉義不充分以及對現有 SQL 查詢的準備不充分而引起的。它允許從數據庫中提取敏感信息,使未經身份驗證的攻擊者能夠在現有查詢的基礎上添加額外的結構化語言查詢。
根據安全公司 CVE Program 的說法,該小部件是由名爲“narinder-singh”的供應商提供的,並且版本 2.0 到 2.6.5 被確定包含該漏洞。
