Сінгапурське кіберагентство попереджає, що криптовіджет для WordPress може стати причиною витоку даних
Плагін для WordPress, який відображає актуальні курси криптовалют у динамічному віджеті, містить критичну вразливість, що може призвести до зламу сайту та викрадення інформації, попереджає агентство з кібербезпеки Сінгапуру.
Сінгапурське агентство з кібербезпеки (CSA) випустило критичне попередження щодо плагіну для WordPress під назвою «Cryptocurrency Widgets – Price Ticker & Coins List». Версії з 2.0 до 2.6.5 є вразливими до атак типу SQL-ін'єкцій через параметр «coinslist».
Проблема полягає в недостатньому екрануванні параметрів, наданих користувачем, та неправильній підготовці SQL-запитів. За словами CSA, ця вразливість може дозволити неавторизованим зловмисникам вводити додаткові SQL-запити та потенційно викрадати конфіденційну інформацію з бази даних сайту.
Згідно з сайтом WordPress, плагін розроблений Наріндером Сінгхом, який нібито є співзасновником CryptocurrencyPlugins від CoolPlugins.net.
На маркетплейсі WordPress плагін від CoolPlugins.net має понад 10 000 завантажень та понад 150 п'ятизіркових відгуків, але незрозуміло, скільки користувачів використовують версії з 2.0 до 2.6.5. На сторінці плагіну є інформація про оновлення до версії 2.6.6, але невідомо, чи воно усуває цю вразливість. Станом на момент публікації, Cool Plugins не прокоментували це питання публічно.
Яка ваша реакція?
