Widget kripto WordPress yang digunakan oleh ribuan orang mungkin mengandung kerentanan keamanan yang dapat membocorkan data ke calon penyerang.
Badan Keamanan Siber (CSA) Singapura telah merilis buletin keamanan yang merinci kerentanan kritis dalam ‘Widget Mata Uang Kripto – Daftar Ticker Harga & Koin’, sehingga berpotensi rentan terhadap pengungkapan data pengguna. Peringatan keamanan berlaku untuk versi 2.0 hingga 2.6.5 dan, menurut CSAberpusat pada “tidak cukupnya pelolosan pada parameter yang disediakan pengguna dan kurangnya persiapan yang memadai pada kueri SQL yang ada”.
Pada dasarnya, ini berarti ada masalah dalam cara input pengguna ditangani dalam aplikasi perangkat lunak atau database, yang bertentangan dengan praktik terbaik keamanan standar. CSA memperingatkan bahwa widget WordPress ini berpotensi memungkinkan pengguna yang tidak berwenang menambahkan kueri SQL tambahan, dengan risiko mengekstraksi informasi sensitif dari database situs web.
Mengingat widget ini berpusat pada mata uang kripto, hal ini dapat membuat dompet, keuangan, atau informasi pribadi pengguna lainnya rentan terhadap serangan. Plug-in ini sendiri telah diunduh lebih dari 10.000 kali, namun belum diketahui berapa banyak orang yang mungkin terkena dampaknya.
Ini bukan pertama kalinya peretas menggunakan kerentanan keamanan untuk mengekstrak segala sesuatu mulai dari pembayaran sebagian hingga kontrak pintar. Skrip yang berbahaya sering kali luput dari perhatian selama beberapa waktu, sehingga lembaga seperti CSA Singapura harus memperingatkan potensi kerentanan seperti ini.
Apa itu ‘Widget Mata Uang Kripto’?
Widget Mata Uang Kripto digunakan untuk menampilkan daftar harga koin, tabel, tab multi-mata uang, dan label harga di situs web, sehingga cocok untuk situs web perdagangan kripto yang menawarkan ikhtisar pasar. Ini diperbarui secara rutin 24 jam sehari untuk memberikan cakupan berkelanjutan untuk Bitcoin, Ethereum, dan mata uang kripto populer lainnya.
Pada saat artikel ini ditulis, CoolPlugins (pembuat widget) belum mengomentari masalah ini secara publik. Saat ini juga ada pembaruan untuk versi 2.6.6, yang harus dilindungi dari kerentanan keamanan.
Gambar unggulan: Pexels