SUI$1.84 2.54%HYPE$25.99 6.02%XMR$714.14 8.15%TRX$0.3034 1.52%BNB$939.02 2.99%LINK$14.04 5.80%BTC$94,917 3.00%SOL$144.63 2.71%ADA$0.4244 7.80%XLM$0.2451 8.80%XRP$2.14 4.01%ETH$3,332 6.03%BCH$614.29 1.21%DOGE$0.148 6.19%
Arijit Sarkar
Ditulis oleh Arijit Sarkar,Bekas Penulis Staf
Felix Ng
Disemak oleh Felix Ng,Editor Staf

Plugin widget kripto WordPress ini boleh membocorkan maklumat yang sensitif

Menurut firma keselamatan CVE Program, plugin WordPress "Cryptocurrency Widgets - Price Ticker & Coins List" mempunyai kelemahan kritikal dari versi 2.0 hingga 2.6.5.

Plugin widget kripto WordPress ini boleh membocorkan maklumat yang sensitif
Berita

Agensi Keselamatan Siber Singapura (CSA) menunjukkan bahawa plugin widget mata wang kripto untuk platform pembangunan web WordPress mengandungi kelemahan yang boleh digunakan untuk mengekstrak maklumat sensitif.

Satu buletin keselamatan dikeluarkan oleh Pasukan Tindak Balas Kecemasan Siber Singapura (SingCERT) memperingatkan tentang plugin bernama "The Cryptocurrency Widgets - Price Ticker & Coins List," menandainya sebagai kritikal kerana kelemahan yang terdapat.

Buletin Keselamatan SingCERT merangkumi senarai kelemahan dalam widget kripto WordPress. Sumber: csa.gov.sg

Seperti yang ditunjukkan di atas, widget kripto ini menerima skor asas 9.8/10, menempatkannya pada tahap "kritikal," iaitu tahap tertinggi dalam spektrum kelemahan.

Pangkalan Data Kerentanan Nasional (NVD) - repositori kerajaan Amerika Syarikat bagi data pengurusan kerentanan berdasarkan standard - menjelaskan bahawa plugin kripto WordPress ini "rentan terhadap SQL Injection melalui parameter 'coinslist' dalam versi 2.0 hingga 2.6.5 disebabkan oleh kekurangan pelarian pada parameter yang diberikan oleh pengguna dan kekurangan persediaan yang mencukupi pada kueri SQL yang sedia ada."

Risiko keselamatan plugin "Cryptocurrency Widgets - Price Ticker & Coins List" WordPress. Sumber: nvd.nist.gov

Kelemahan tersebut membolehkan pengekstrakan maklumat sensitif dari pangkalan data dengan memungkinkan penyerang yang tidak sah untuk menambahkan permintaan bahasa kueri berstruktur (SQL) tambahan ke dalam kueri yang sudah ada.

Menurut firma keselamatan CVE Program, widget ini disediakan oleh penjual bernama "narinder-singh," dan versi 2.0 hingga 2.6.5 ditemui mengandungi kelemahan tersebut.

Berkaitan: Kesalahan ATM Bitcoin boleh memberikan 'kawalan penuh' kepada penjenayah

Pada 9 Disember 2023, NVD mengenal pasti inskripsi Bitcoin (BTC) sebagai risiko keselamatan siber.

Menurut rekod pangkalan data, had pengangkut data boleh dielakkan dengan menyamar data sebagai kod dalam beberapa versi Bitcoin Core dan Bitcoin Knots. "Seperti yang dieksploitasi di alam liar oleh Inskripsi pada tahun 2022 dan 2023," tulis dokumen tersebut.

Kerentanan Bitcoin tercantum dalam Sistem Kerentanan dan Pendedahan Umum (CVE). Sumber: Rekod CVE

Laman web NVD menampilkan satu pos X terkini daripada pembangun Bitcoin Core, Luke Dashjr, sebagai sumber maklumat. Dashjr mendakwa bahawa inskripsi mengeksploitasi kerentanan Bitcoin Core untuk menghambat rangkaian. "Saya rasa ia seperti menerima surat sampah yang anda perlu sering setiap hari untuk mencari yang merupakan kenalan anda. Ia melambatkan proses," tulis seorang pengguna dalam perbincangan tersebut.

Majalah: Doge dalam Kehidupan Sebenar pada usia 18: Meme yang akan ke bulan

Cointelegraph komited terhadap kewartawanan yang bebas dan telus. Artikel berita ini dihasilkan selaras dengan Dasar Editorial Cointelegraph dan bertujuan untuk menyediakan maklumat yang tepat serta tepat pada masanya. Pembaca digalakkan untuk mengesahkan maklumat secara bebas. Baca Dasar Editorial kami https://my.cointelegraph.com/editorial-policy