Un complemento de widget criptográfico para WordPress tiene una vulnerabilidad que podría exponer datos confidenciales, advierte la agencia de ciberseguridad de Singapur.
La Agencia de Ciberseguridad de Singapur (CSA) ha emitido una advertencia crítica con respecto al complemento del widget “Cryptocurrency Widgets – Value Ticker & Coins List” para WordPress, diciendo que las versiones 2. a 2.6.5 son vulnerables a inyecciones de SQL a través del parámetro 'coinslist'.
La vulnerabilidad se debe a un escape insuficiente de los parámetros proporcionados por el usuario y a una preparación inadecuada de las consultas SQL existentes, dice la CSA. Según la agencia, la falla potencialmente permite a atacantes no autenticados inyectar consultas SQL adicionales, extrayendo potencialmente información confidencial de la foundation de datos de un sitio world wide web.
Según el sitio website de WordPress, el complemento fue proporcionado por Narinder Singh, quien supuestamente es cofundador de CryptocurrencyPlugins de CoolPlugins.web.
El mercado de WordPress muestra que el complemento desarrollado por CoolPlugins.internet tiene más de 10.000 descargas y más de 150 reseñas le otorgan cinco estrellas, aunque no está claro cuántos usuarios se ven afectados por las versiones 2. a 2.6.5. Si bien la página del complemento indica una actualización a la versión 2.6.6, no está claro si la última actualización soluciona la vulnerabilidad. Al cierre de esta edición, Cool Plugins no ha comentado públicamente sobre el tema.
En octubre de 2023, crypto.information informó que los delincuentes comenzaron a utilizar los contratos inteligentes de BNB Chain para distribuir malware, dirigido a sitios world wide web creados con WordPress. Al inyectar código que extrae cargas útiles parciales de los contratos inteligentes, los piratas informáticos pueden incrustar de forma encubierta scripts peligrosos, utilizando efectivamente los contratos inteligentes como plataformas de alojamiento anónimas y gratuitas para actividades maliciosas, advierten los analistas de ciberseguridad.