La Agencia de Seguridad Cibernética de Singapur (CSA) destacó que un plugin de widgets de criptomonedas para la plataforma de desarrollo web WordPress contiene una vulnerabilidad que puede utilizarse para extraer información sensible.

Un boletín de seguridad publicado por el Equipo de Respuesta a Ciberemergencias de Singapur (SingCERT) alertaba contra el plugin denominado "The Cryptocurrency Widgets - Price Ticker & Coins List"; lo marcó como poseedor de vulnerabilidades críticas.

El Boletín de Seguridad del SingCERT resume la lista de vulnerabilidades del widget de criptomonedas de WordPress. Fuente: csa.gov.sg

Como se muestra más arriba, el widget de criptomonedas recibió una puntuación base de 9.8/10, lo que lo sitúa en el nivel "crítico", que es el más alto en el espectro de vulnerabilidades.

La National Vulnerability Database (NVD) -el repositorio del gobierno de los Estados Unidos de datos de gestión de vulnerabilidades basados en estándares- explicó que el plugin de criptomonedas de WordPress es "vulnerable a la inyección SQL a través del parámetro 'coinslist' en las versiones 2.0 a 2.6.5 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente".

Riesgo de seguridad del widget de WordPress "Cryptocurrency Widgets - Price Ticker & Coins List plugin". Fuente: nvd.nist.gov

Dicha vulnerabilidad permite la extracción de información sensible de la base de datos al hacer posible que atacantes no autentificados añadan consultas adicionales en lenguaje de consulta estructurado (SQL) a consultas ya existentes.

Según la empresa de seguridad CVE Program, el widget fue suministrado por un proveedor llamado "narinder-singh", y se descubrió que las versiones 2.0 a 2.6.5 eran portadoras de la vulnerabilidad.

El 9 de diciembre de 2023, el NVD señaló las inscripciones de bitcoin como un riesgo de ciberseguridad.

Según los registros de la base de datos, se puede eludir un límite de soporte de datos enmascarando datos como código en algunas versiones de Bitcoin Core y Bitcoin Knots. "Como explotado en lo salvaje por Inscriptions en 2022 y 2023", reza el documento.

La vulnerabilidad de bitcoin aparece en el sistema Common Vulnerabilities and Exposures (CVE). Fuente: Registros CVE

El sitio web del NVD incluye un reciente post en X del desarrollador de Bitcoin Core Luke Dashjr como recurso informativo. Dashjr alega que las inscripciones explotan una vulnerabilidad de Bitcoin Core para enviar spam a la red. "Supongo que es como recibir correo basura que tienes que revisar cada día para encontrar los que son tus contactos. Ralentiza el proceso", escribió un usuario en la discusión.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión