Сингапурское киберагентство предупреждает, что криптовиджет для WordPress может стать причиной утечки данных

Плагин для WordPress, отображающий актуальные курсы криптовалют в динамическом виджете, содержит критическую уязвимость, что может привести к взлому сайта и похищению информации, предупреждает агентство по кибербезопасности Сингапура.

8 февраля 2024 - 15:07
 0  5
Сингапурское киберагентство предупреждает, что криптовиджет для WordPress может стать причиной утечки данных

Сингапурское агентство по кибербезопасности (CSA) выпустило критическое предупреждение о плагине для WordPress под названием Cryptocurrency Widgets – Price Ticker & Coins List». Версии с 2.0 до 2.6.5 уязвимы к атакам типа SQL-инъекций из-за параметра «coinslist».

Проблема заключается в недостаточном экранировании параметров, предоставленных пользователем и неправильной подготовке SQL-запросов. По словам CSA, эта уязвимость может позволить неавторизованным злоумышленникам вводить дополнительные SQL запросы и потенциально похищать конфиденциальную информацию из базы данных сайта.

Согласно сайту WordPress, плагин разработан Нариндером Сингхом, который якобы является соучредителем CryptocurrencyPlugins от CoolPlugins.net.

На маркетплейсе WordPress плагин CoolPlugins.net имеет более 10 000 загрузок и более 150 пятизвездочных отзывов, но непонятно, сколько пользователей используют версии с 2.0 до 2.6.5. На странице плагина есть информация об обновлении до версии 2.6.6, но неизвестно, устраняет ли оно уязвимость. По состоянию на момент публикации Cool Plugins не прокомментировали этот вопрос публично.

Ваша реакция?

like

dislike

love

funny

angry

sad

wow

Dmytro Demidko Головний редактор видання BROKKER.NEWS. Криптоінвестор. Активно стежу за криптоіндустрією з 2016 року. Створюю якісний та унікальний контент на тему крипти і всім, що з нею пов'язано. Допомагаю іншим розібратися з тим, з чим уже розібрався сам. Моя основна спеціалізація - цифровий маркетинг, зокрема копірайтинг, дизайн, розробка веб-сайтів та SEO, аналітика і SMM.