Плагін криптовалютних віджетів для WordPress може спричинити витік конфіденційної інформації

Згідно зі звітом компанії CVE Program, виявлено критичну вразливість у плагіні «Cryptocurrency Widgets — Price Ticker & Coins List» для WordPress у версіях від 2.0 до 2.6.5.

Агентство кібербезпеки Сінгапуру (CSA) оповістило про виявлення вразливості у плагіні для криптовалют на платформі WordPress, яка може призвести до витоку конфіденційної інформації.

Згідно з безпековим бюлетенем, опублікованим Сінгапурською групою реагування на надзвичайні ситуації в кіберпросторі (SingCERT), плагін з назвою «Cryptocurrency Widgets — Price Ticker & Coins List» має критичну вразливість.

Оцінка вразливості цього криптовалютного віджета складає 9,8/10 балів, що вказує на «критичний» рівень вразливості, найвищий у спектрі вразливостей.

Згідно з національною базою даних уразливостей (National Vulnerability Database, NVD), плагін «Cryptocurrency Widgets» для WordPress є вразливим до SQL Injection через параметр «coinslist» у версіях від 2.0 до 2.6.5 через недостатнє екранування параметра, який вводиться користувачем, та недостатню підготовку наявного SQL-запиту.

Ця вразливість дозволяє несанкціонованим особам отримувати конфіденційну інформацію з бази даних, додаючи додаткові запити мовою структурованих запитів (SQL) до наявних запитів.

Відповідно до даних компанії CVE Program, плагін був розроблений постачальником під ім’ям «narinder-singh», і виявлено, що версії від 2.0 до 2.6.5 містять дану вразливість.

Нагадаємо, у липні у плагіні Ninja Forms для WordPress виявлено численні уразливості, які можуть бути використані зловмисниками для підвищення привілеїв та крадіжки конфіденційних даних.