Сингапурское киберагентство предупреждает, что криптовиджет для WordPress может стать причиной утечки данных
Плагин для WordPress, отображающий актуальные курсы криптовалют в динамическом виджете, содержит критическую уязвимость, что может привести к взлому сайта и похищению информации, предупреждает агентство по кибербезопасности Сингапура.
Сингапурское агентство по кибербезопасности (CSA) выпустило критическое предупреждение о плагине для WordPress под названием Cryptocurrency Widgets – Price Ticker & Coins List». Версии с 2.0 до 2.6.5 уязвимы к атакам типа SQL-инъекций из-за параметра «coinslist».
Проблема заключается в недостаточном экранировании параметров, предоставленных пользователем и неправильной подготовке SQL-запросов. По словам CSA, эта уязвимость может позволить неавторизованным злоумышленникам вводить дополнительные SQL запросы и потенциально похищать конфиденциальную информацию из базы данных сайта.
Согласно сайту WordPress, плагин разработан Нариндером Сингхом, который якобы является соучредителем CryptocurrencyPlugins от CoolPlugins.net.
На маркетплейсе WordPress плагин CoolPlugins.net имеет более 10 000 загрузок и более 150 пятизвездочных отзывов, но непонятно, сколько пользователей используют версии с 2.0 до 2.6.5. На странице плагина есть информация об обновлении до версии 2.6.6, но неизвестно, устраняет ли оно уязвимость. По состоянию на момент публикации Cool Plugins не прокомментировали этот вопрос публично.
Ваша реакция?
