Theo Cointelegraph: Công ty bảo mật CVE Program đã xác định được một lỗ hổng nghiêm trọng trong "Tiện ích tiền điện tử – plugin Danh sách giá & tiền xu" cho WordPress, một nền tảng phát triển web được sử dụng rộng rãi. Các phiên bản 2.0 đến 2.6.5 của tiện ích này đã bị gắn cờ vì lỗ hổng có thể làm lộ thông tin nhạy cảm.
Theo Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD) – kho lưu trữ dữ liệu quản lý lỗ hổng bảo mật của chính phủ Hoa Kỳ – plugin này dễ bị tiêm SQL. Lỗ hổng này, liên quan đến tham số 'coinslist', là do thực hiện không đủ biện pháp trong quá trình thoát tham số do người dùng cung cấp và chuẩn bị truy vấn SQL kém trong các phiên bản 2.0 đến 2.6.5. Do đó, những kẻ tấn công không được xác thực có thể thêm các truy vấn SQL bổ sung vào các truy vấn có sẵn, làm lộ dữ liệu nhạy cảm từ cơ sở dữ liệu.
Plugin do nhà cung cấp "Narinder-singh" cung cấp, đạt điểm cao 9,8/10 trên điểm cơ sở về lỗ hổng bảo mật, phân loại nó là mối đe dọa "nghiêm trọng".
Trong một lưu ý liên quan, NVD cũng nhấn mạnh các mã Bitcoin là một rủi ro an ninh mạng vào ngày 9 tháng 12 năm 2023. Một số phiên bản nhất định của Bitcoin Core và Bitcoin Knots đã được phát hiện cho phép vượt qua giới hạn nhà cung cấp dữ liệu bằng cách che giấu dữ liệu dưới dạng mã. Được đề cập là đã bị khai thác rộng rãi trong năm 2022 và 2023, sự cố này làm chậm hiệu quả của mạng, tương tự như việc nhận và sàng lọc thư rác hàng ngày, theo cách tương tự của người dùng.
Wilfred
