Сінгапурське кіберагентство попереджає, що криптовіджет для WordPress може стати причиною витоку даних

Плагін для WordPress, який відображає актуальні курси криптовалют у динамічному віджеті, містить критичну вразливість, що може призвести до зламу сайту та викрадення інформації, попереджає агентство з кібербезпеки Сінгапуру.

8 лютого 2024 - 15:07
 0  32
Сінгапурське кіберагентство попереджає, що криптовіджет для WordPress може стати причиною витоку даних
Зображення: brokker.news

Сінгапурське агентство з кібербезпеки (CSA) випустило критичне попередження щодо плагіну для WordPress під назвою «Cryptocurrency Widgets – Price Ticker & Coins List». Версії з 2.0 до 2.6.5 є вразливими до атак типу SQL-ін'єкцій через параметр «coinslist».

Проблема полягає в недостатньому екрануванні параметрів, наданих користувачем, та неправильній підготовці SQL-запитів. За словами CSA, ця вразливість може дозволити неавторизованим зловмисникам вводити додаткові SQL-запити та потенційно викрадати конфіденційну інформацію з бази даних сайту.

Згідно з сайтом WordPress, плагін розроблений Наріндером Сінгхом, який нібито є співзасновником CryptocurrencyPlugins від CoolPlugins.net.

На маркетплейсі WordPress плагін від CoolPlugins.net має понад 10 000 завантажень та понад 150 п'ятизіркових відгуків, але незрозуміло, скільки користувачів використовують версії з 2.0 до 2.6.5. На сторінці плагіну є інформація про оновлення до версії 2.6.6, але невідомо, чи воно усуває цю вразливість. Станом на момент публікації, Cool Plugins не прокоментували це питання публічно.

Яка ваша реакція?

like

dislike

love

funny

angry

sad

wow

Dmytro Demidko Головний редактор видання BROKKER.NEWS. Криптоінвестор. Активно стежу за криптоіндустрією з 2016 року. Створюю якісний та унікальний контент на тему крипти і всім, що з нею пов'язано. Допомагаю іншим розібратися з тим, з чим уже розібрався сам. Моя основна спеціалізація - цифровий маркетинг, зокрема копірайтинг, дизайн, розробка веб-сайтів та SEO, аналітика і SMM.