ログイン/ 登録

WordPress Crypto Widgetプラグインに重大な脆弱性が発見され、機密情報が漏えいする可能性

08/02 19:32

コインテレグラフによるとセキュリティ企業のCVE Programは、広く使われているウェブ開発プラットフォームであるWordPress用の「Cryptocurrency Widgets - Price Ticker & Coins List plugin」に重大な欠陥があることを特定した。このウィジェットのバージョン2.0から2.6.5には、機密情報を暴露する可能性のある脆弱性が指摘されている。米国政府の脆弱性管理データ・レポジトリであるNational Vulnerability Database（NVD）によると、このプラグインはSQLインジェクションの影響を受けやすい。この欠陥は'coinslist'パラメータに関連するもので、バージョン2.0から2.6.5において、ユーザが提供するパラメータのエスケープとSQLクエリの準備の際に不十分な対策が取られたことに起因する。その結果、認証されていない攻撃者は、既存のSQLクエリに追加のSQLクエリを追加し、データベースから機密データを漏洩させることができます。ベンダー "Narinder-singh "によって提供されたこのプラグインは、脆弱性の基本スコアで9.8/10の高得点を獲得し、"重大な "脅威に分類された。これに関連して、NVDは2023年12月9日にもビットコインのティッカーをサイバーセキュリティリスクとして取り上げている。Bitcoin CoreとBitcoin Knotsの特定のバージョンでは、データをコードとして隠蔽することにより、データキャリアの制限をバイパスできることが判明した。2022年から2023年にかけて悪用されると言及されたこの問題は、ユーザーの例えで言えば、毎日迷惑メールを受信してふるいにかけるのと同じように、ネットワークの効率を低下させる。

強気

弱気