هشدار درباره افزونه رمزارزی وردپرس که اطلاعات شما را فاش میکند
وجود نوعی آسیبپذیری حیاتی در یک افزونه رمزارزی با نام The Cryptocurrency Widgets – Price Ticker & Coins List امنیت کاربران را به شدت به خطر خواهد انداخت.
به گزارش واحد ترجمه ایران دکونومی، آژانس امنیت سایبری سنگاپور (CSA) مدعی شده است که نوعی آسیبپذیری را در یک افزونه ویجت رمزارزی مربوط به پلتفرم توسعه وب وردپرس شناسایی کرده است که میتوان از آن برای استخراج اطلاعات حساس کاربران استفاده نمود.
بولتن امنیتی منتشر شده توسط تیم واکنش اضطراری سایبری سنگاپور (SingCERT) به تاکید در مورد افزونهای با نام The Cryptocurrency Widgets – Price Ticker & Coins List هشدار داده و به وجود یک سری آسیبپذیری حیاتی در آن اشاره کرده است.
متخصصان امنیت سایبری با تخصیص امتیاز پایه 9.8 از 10 به این ویجت، آن را در رتبه «بحرانی» قرار دادند که بالاترین امتیاز در طیف آسیبپذیریهای احتمالی محسوب میشود.
مکانیزم عمل آسیبپذیری افزونه رمزارزی وردپرس
پایگاه ملی دادههای آسیبپذیری آمریکا (NVD)، که در اصل مخزن دادههای مدیریت آسیبپذیریهای مختلف سیستم عاملها بر پایه استانداردها است، در این خصوص گفته است این افزونه رمزارزی وردپرس به دلیل مقاومت ناکافی در پارامتر ارائه شده توسط کاربر و عدم آمادهسازی کافی در مورد SQL query موجود، به واسطه پارامتر ‘coinslist’ در نسخههای 2.0 تا 2.6.5 نسبت به SQL Injection آسیبپذیر است.
این آسیبپذیری با فراهم ساختن امکان استخراج اطلاعات حساس از پایگاه داده، به مهاجمان احراز هویت نشده اجازه میدهد کوئریهای اسکیو ال یا همان زبان پرسوجوی ساختار یافته (SQL) اضافی را به جستارهای موجود اضافه کنند.
طبق گفته شرکت امنیتی CVE Program، این ویجت توسط فروشندهای به نام “narinder-singh” ارائه شده است و نسخههای 2.0 تا 2.6.5 آن حاوی این آسیبپذیری هستند.
لازم به ذکر است که پایگاه ملی دادههای آسیبپذیری (NVD) آمریکا روز نهم دسامبر 2023 (18 آذر)، اینسکریپشنهای بیت کوین را نیز به عنوان یک خطر امنیت سایبری معرفی کرد.
با توجه به سوابق پایگاه داده، میتوان محدودیت حامل داده را با پوشش دادهها تحت عنوان “کد” در برخی نسخههای بیت کوین کور (Bitcoin Core) و بیت کوین ناتس (Bitcoin Knots) دور زد.
وب سایت NVD از یکی از پستهای توسعهدهنده بیت کوین کور یعنی لوک دشیر (Luke Dashjr) در ایکس (X) به عنوان یک منبع اطلاعاتی یاد کرده است. ظاهراً دشیر ادعا میکند که اینسکریپشنها از آسیب پذیری Bitcoin Core برای ارسال هرزنامه به شبکه سوء استفاده میکنند. وی افزود: «حدس میزنم این هم مانند دریافت ایمیلهای ناخواسته است که باید هر روز آنها را بررسی کنید تا مخاطب خود را بشناسید.»
سلب مسئولیت: تلاش ایران دکونومی مبتنی بر ارائه محتوای مفید صرفاً جهت افزایش آگاهی مخاطب است و توصیه مالی محسوب نمیگردد.
منبع: cointelegraph