أبرزت وكالة الأمن السيبراني (CSA) في سنغافورة أن المكون الإضافي لعنصر واجهة المستخدم للعملات المشفرة لمنصة تطوير الويب WordPress يحتوي على ثغرة يمكن استخدامها لاستخراج معلومات حساسة.
حذرت نشرة أمنية أصدرها فريق الاستجابة للطوارئ السيبرانية في سنغافورة (SingCERT) من البرنامج الإضافي المسمى “The Cryptocurrency Widgets – Price Ticker & Coins List”، مما يشير إلى وجود ثغرات أمنية حرجة فيه.
كما هو موضح أعلاه، حصلت أداة العملات المشفرة على درجة أساسية 9.8/10، مما يجعلها في الدرجة “الحرجة”، وهي أعلى مجموعة من نقاط الضعف.
أوضحت قاعدة بيانات الثغرات الأمنية الوطنية (NVD) – مستودع حكومة الولايات المتحدة لبيانات إدارة الثغرات الأمنية القائمة على المعايير – أن مكون التشفير الإضافي لـ WordPress “عرضة لحقن SQL عبر معلمة ‘coinslist’ في الإصدارات 2.0 إلى 2.6.5 بسبب عدم كفاية الهروب المعلمة التي يقدمها المستخدم وعدم وجود إعداد كاف لاستعلام SQL الموجود.

تسمح الثغرة الأمنية المذكورة باستخراج معلومات حساسة من قاعدة البيانات من خلال تمكين المهاجمين غير المصادقين من إلحاق استعلامات SQL إضافية بالاستعلامات الموجودة بالفعل.
وفقًا لبرنامج CVE الخاص بشركة الأمان، تم توفير الأداة من قبل بائع يُدعى “narinder-singh” وتم العثور على الإصدارات من 2.0 إلى 2.6.5 تحمل الثغرة الأمنية.
متعلق ب: خلل في أجهزة الصراف الآلي الخاصة بالبيتكوين قد يمنح المتسللين “السيطرة الكاملة”
في 9 ديسمبر، وضع NVD علامة على تسجيلات بيتكوين (BTC) باعتبارها خطرًا على الأمن السيبراني.
وفقًا لسجلات قاعدة البيانات، يمكن تجاوز حد حامل البيانات عن طريق إخفاء البيانات كرمز في بعض إصدارات Bitcoin Core وBitcoin Knots. وجاء في الوثيقة: “كما تم استغلالها في البرية بواسطة النقوش في عامي 2022 و2023”.

على موقع NVD، تم عرض منشور حديث من مطور Bitcoin Core Luke Dashjr على X (Twitter سابقًا) كمصدر معلومات. يزعم Dashjr أن النقوش تستغل ثغرة Bitcoin Core لإرسال بريد عشوائي إلى الشبكة. كتب أحد المستخدمين في المناقشة: “أعتقد أن الأمر يشبه تلقي البريد غير الهام الذي يتعين عليك التدقيق فيه كل يوم للعثور على جهات الاتصال الخاصة بك. إنه يبطئ العملية”.
المجلة: دوجي الحقيقي في عمر 18 عامًا: ميمي الذي سيذهب إلى القمر













