根據 Cointelegraph 報導:安全公司 CVE Program 發現了廣泛使用的 Web 開發平臺 WordPress 的「Cryptocurrency Widgets – Price Ticker & Coins List 外掛程式」中的一個嚴重缺陷。 該小部件的 2.0 至 2.6.5 版本已被標記為存在可能洩露敏感資訊的漏洞。
根據國家漏洞資料庫 (NVD)——美國政府的漏洞管理資料儲存庫——該插件容易受到 SQL 注入攻擊。 此缺陷與「coinslist」參數相關,是由於 2.0 至 2.6.5 版本中使用者提供的參數轉義過程中採取的措施不足以及 SQL 查詢準備不當造成的。 因此,未經身份驗證的攻擊者可以將額外的 SQL 查詢附加到預先存在的查詢中,從而洩露資料庫中的敏感資料。
該插件由供應商「Narinder-singh」提供,在漏洞基本分數上得分高達 9.8/10,將其歸類為「嚴重」威脅。
在相關說明中,NVD 也於2023 年12 月9 日強調比特幣程式碼是一種網路安全風險。某些版本的Bitcoin Core 和Bitcoin Knots 被發現可以透過將資料偽裝成程式碼來允許繞過資料載體限制。 根據使用者的比喻,該問題在 2022 年和 2023 年期間被廣泛利用,會降低網路效率,類似於每天接收和篩選垃圾郵件。
