آژانس سایبری سنگاپور هشدار می دهد که ویجت رمزنگاری وردپرس ممکن است داده ها را درز کند

آژانس امنیت سایبری سنگاپور هشدار می دهد که یک افزونه ویجت رمزنگاری برای وردپرس دارای آسیب پذیری است که ممکن است داده های حساس را در معرض دید قرار دهد.

آژانس امنیت سایبری سنگاپور (CSA) در مورد پلاگین ویجت «ویجت‌های ارز رمزنگاری – لیست قیمت و فهرست سکه‌ها» برای وردپرس هشداری صادر کرد و گفت که نسخه‌های 2.0 تا 2.6.5 در برابر تزریق SQL از طریق پارامتر «coinslist» آسیب‌پذیر هستند.

CSA می‌گوید این آسیب‌پذیری ناشی از فرار ناکافی پارامترهای ارائه‌شده توسط کاربر و آماده‌سازی ناکافی در پرس‌وجوهای SQL موجود است. به گفته این آژانس، این نقص به طور بالقوه به مهاجمان تایید نشده اجازه می دهد تا کوئری های SQL اضافی را تزریق کنند و به طور بالقوه اطلاعات حساس را از پایگاه داده یک وب سایت استخراج کنند.

به گفته وب سایت وردپرس، این افزونه توسط ناریندر سینگ، که گفته می شود یکی از بنیانگذاران CryptocurrencyPlugins توسط CoolPlugins.net است، ارائه شده است.

بازار وردپرس نشان می دهد که افزونه توسعه یافته توسط CoolPlugins.net دارای بیش از 10000 بارگیری با بیش از 150 بررسی است که به آن پنج ستاره می دهد، اگرچه هنوز مشخص نیست که چه تعداد از کاربران تحت تأثیر نسخه های 2.0 تا 2.6.5 قرار دارند. در حالی که صفحه این افزونه به‌روزرسانی نسخه 2.6.6 را نشان می‌دهد، مشخص نیست که آیا آخرین به‌روزرسانی آسیب‌پذیری را برطرف می‌کند یا خیر. تا زمان انتشار، Cool Plugins در مورد این موضوع به صورت عمومی اظهار نظر نکرده است.

در اکتبر 2023، کریپتوفارسگزارش داد که بازیگران بد شروع به استفاده از قراردادهای هوشمند BNB Chain برای توزیع بدافزار کرده اند و وب سایت های ساخته شده با وردپرس را هدف قرار داده اند. تحلیلگران امنیت سایبری هشدار می دهند که با تزریق کدی که بارهای جزئی را از قراردادهای هوشمند استخراج می کند، هکرها می توانند به طور مخفیانه اسکریپت های خطرناک را جاسازی کنند و به طور موثر از قراردادهای هوشمند به عنوان پلت فرم های میزبانی رایگان و ناشناس برای فعالیت های مخرب استفاده کنند.