Plugin Crypto WordPress contrassegnato come rischio “critico” per la sicurezza informatica

Ultimo aggiornamento:

8 febbraio 2024 12:20 EST
| 1 minuto di lettura

Ieri un plug-in widget crittografico per il sistema di gestione dei contenuti Web WordPress è stato definito un “rischio critico per la sicurezza informatica”.

Un bollettino di sicurezza rilasciato dalla Cyber ​​Security Agency di Singapore (CSA) ha osservato che un plugin, chiamato “The Cryptocurrency Widgets – Price Ticker & Coins List” è stato identificato come un rischio per la sicurezza informatica e potrebbe essere potenzialmente sfruttato per estrarre informazioni sensibili.

Il crypto widget ha ottenuto un punteggio base di 9,8/10, collocandolo nel gruppo di vulnerabilità “critiche” che il CSA utilizza per riferirsi alle vulnerabilità con un punteggio minimo di 9/10.

Le vulnerabilità del plugin Crypto Widget

Il National Vulnerability Database (NVD), l'archivio del governo statunitense per i dati di gestione delle vulnerabilità basati su standard, ha affermato che il plugin crittografico di WordPress è suscettibile all'SQL Injection tramite il parametro 'coinslist' nelle versioni dalla 2.0 alla 2.6.5.

Questa vulnerabilità deriva da un'escape insufficiente del parametro fornito dall'utente e da una preparazione inadeguata della query SQL esistente. Ha consentito l'estrazione di informazioni sensibili dal database, consentendo agli aggressori non autenticati di aggiungere ulteriori query in linguaggio strutturato a quelle esistenti.

Secondo la società di sicurezza CVE Program, il widget è stato fornito da un venditore identificato come “narinder-singh”, e le versioni dalla 2.0 alla 2.6.5 sono state identificate come contenenti la vulnerabilità.

I rischi legati alla sicurezza informatica affliggono le criptovalute

Le vulnerabilità della sicurezza stanno diventando sempre più comuni nel settore delle criptovalute. Due settimane fa, produttore di bancomat Bitcoin Lamassu Industries ha risolto una vulnerabilità che, se sfruttato, avrebbe potuto fornire agli hacker il “pieno controllo” sui suoi bancomat Bitcoin.

Gabriel Gonzalez, direttore della sicurezza hardware di IOActive, ha riferito che le vulnerabilità sfruttate avrebbero potuto consentire agli hacker di svuotare tutti i fondi dal bancomat e manipolare il lettore di banconote per visualizzare importi di deposito imprecisi.

La vulnerabilità è stata scoperta quando un team di hacker etici della società di sicurezza IOActive ha tentato di compromettere gli sportelli bancomat Bitcoin di Lamassu nel 2023. I ricercatori hanno identificato e sfruttato molteplici vulnerabilità, ottenendo infine il pieno controllo sugli sportelli bancomat.