به گزارش واحد ترجمه ایران دکونومی، آژانس امنیت سایبری سنگاپور (CSA) مدعی شده است که نوعی آسیب‌پذیری را در یک افزونه ویجت رمزارزی مربوط به پلتفرم توسعه وب وردپرس شناسایی کرده است که می‌توان از آن برای استخراج اطلاعات حساس کاربران استفاده نمود.

بولتن امنیتی منتشر شده توسط تیم واکنش اضطراری سایبری سنگاپور (SingCERT) به تاکید در مورد افزونه‌ای با نام The Cryptocurrency Widgets – Price Ticker & Coins List هشدار داده و به وجود یک سری آسیب‌پذیری حیاتی در آن اشاره کرده است.

فهرستی از آسیب‌پذیری‌ها در افزونه رمزارزی وردپرس
بولتن امنیتی SingCERT فهرستی از آسیب‌پذیری‌ها در افزونه رمزارزی وردپرس تهیه کرده است. منبع: csa.gov.sg

متخصصان امنیت سایبری با تخصیص امتیاز پایه 9.8 از 10 به این ویجت، آن را در رتبه «بحرانی» قرار دادند که بالاترین امتیاز در طیف آسیب‌پذیری‌های احتمالی محسوب می‌شود.

مکانیزم عمل آسیب‌پذیری افزونه رمزارزی وردپرس

پایگاه ملی داده‌های آسیب‌پذیری‌ آمریکا (NVD)، که در اصل مخزن داده‌های مدیریت آسیب‌پذیری‌های مختلف سیستم عامل‌ها بر پایه استانداردها است، در این خصوص گفته است این افزونه رمزارزی وردپرس به دلیل مقاومت ناکافی در پارامتر ارائه شده توسط کاربر و عدم آماده‌سازی کافی در مورد  SQL query موجود، به واسطه پارامتر ‘coinslist’ در نسخه‌های 2.0 تا 2.6.5 نسبت به SQL Injection آسیب‌پذیر است.

ریسک امنیتی ویجت وردپرس.
ریسک امنیتی ویجت وردپرس. منبع: nvd.nist.gov

این آسیب‌پذیری با فراهم ساختن امکان استخراج اطلاعات حساس از پایگاه داده، به مهاجمان احراز هویت نشده اجازه می‌دهد کوئری‌های اس‌کیو ال یا همان زبان پرس‌وجوی ساختار یافته (SQL) اضافی را به جستارهای موجود اضافه کنند.

طبق گفته شرکت امنیتی CVE Program، این ویجت توسط فروشنده‌ای به نام “narinder-singh” ارائه شده است و نسخه‌های 2.0 تا 2.6.5 آن حاوی این آسیب‌پذیری هستند.

لازم به ذکر است که پایگاه ملی داده‌های آسیب‌پذیری (NVD) آمریکا روز نهم دسامبر 2023 (18 آذر)، اینسکریپشن‌های بیت کوین را نیز به عنوان یک خطر امنیت سایبری معرفی کرد.

با توجه به سوابق پایگاه داده، می‌توان محدودیت حامل داده را با پوشش داده‌ها تحت عنوان “کد” در برخی نسخه‌های بیت کوین کور (Bitcoin Core) و بیت کوین ناتس (Bitcoin Knots) دور زد.

وب سایت NVD از یکی از پست‌های توسعه‌دهنده بیت کوین کور یعنی لوک دشیر (Luke Dashjr) در ایکس (X) به عنوان یک منبع اطلاعاتی یاد کرده است. ظاهراً دشیر ادعا می‌کند که اینسکریپشن‌ها از آسیب پذیری Bitcoin Core برای ارسال هرزنامه به شبکه سوء استفاده می‌کنند. وی افزود: «حدس می‌زنم این هم مانند دریافت ایمیل‌های ناخواسته است که باید هر روز آن‌ها را بررسی کنید تا مخاطب خود را بشناسید.»

سلب مسئولیت: تلاش ایران دکونومی مبتنی بر ارائه محتوای مفید صرفاً جهت افزایش آگاهی مخاطب است و توصیه مالی محسوب نمی‌گردد.

منبع: cointelegraph

لینک کوتاه :
اشتراک گذاری : Array
برچسب ها :