Badan siber Singapura memperingatkan widget kripto WordPress mungkin membocorkan data

Plugin widget kripto untuk WordPress memiliki kerentanan yang mungkin mengekspos data sensitif, badan keamanan siber Singapura memperingatkan.

Badan Keamanan Siber Singapura (CSA) telah mengeluarkan peringatan kritis mengenai plugin widget “Widget Mata Uang Kripto – Harga Ticker & Daftar Koin” untuk WordPress, dengan mengatakan bahwa versi 2.0 hingga 2.6.5 rentan terhadap injeksi SQL melalui parameter ‘daftar koin’.

Kerentanan ini berasal dari kurangnya pelolosan pada parameter yang disediakan pengguna dan persiapan yang tidak memadai pada kueri SQL yang ada, kata CSA. Menurut agensi tersebut, kelemahan tersebut berpotensi memungkinkan penyerang yang tidak diautentikasi untuk memasukkan kueri SQL tambahan, yang berpotensi mengekstraksi informasi sensitif dari database situs web.

Menurut situs WordPress, plugin tersebut disediakan oleh Narinder Singh, yang diduga merupakan salah satu pendiri CryptocurrencyPlugins oleh CoolPlugins.net.

Pasar WordPress menunjukkan plugin yang dikembangkan oleh CoolPlugins.net memiliki lebih dari 10.000 unduhan dengan lebih dari 150 ulasan memberikannya bintang lima, meskipun masih belum jelas berapa banyak pengguna yang terpengaruh oleh versi 2.0 hingga 2.6.5. Meskipun halaman plugin menunjukkan pembaruan ke versi 2.6.6, tidak pasti apakah pembaruan terbaru mengatasi kerentanan tersebut. Hingga berita ini dimuat, Cool Plugins belum mengomentari masalah ini secara publik.

Pada bulan Oktober 2023, crypto.news melaporkan bahwa pelaku kejahatan telah mulai menggunakan kontrak pintar BNB Chain untuk mendistribusikan malware, menargetkan situs web yang dibuat dengan WordPress. Dengan menyuntikkan kode yang mengekstrak sebagian muatan dari kontrak pintar, peretas dapat secara diam-diam menyematkan skrip berbahaya, yang secara efektif menggunakan kontrak pintar sebagai platform hosting anonim dan gratis untuk aktivitas jahat, analis keamanan siber memperingatkan.

Ikuti Kami di Google Berita

crypto.news

Leave a Reply

Your email address will not be published. Required fields are marked *