根據(jù) Cointelegraph 報導(dǎo)：安全公司 CVE Program 發(fā)現(xiàn)了廣泛使用的 Web 開發(fā)平臺 WordPress 的「Cryptocurrency Widgets – Price Ticker & Coins List 外掛程式」中的一個嚴重缺陷。

該小部件的 2.0 至 2.6.5 版本已被標記為存在可能洩露敏感資訊的漏洞。

根據(jù)國家漏洞資料庫 (NVD)——美國政府的漏洞管理資料儲存庫——該插件容易受到 SQL 注入攻擊。

此缺陷與「coinslist」參數(shù)相關(guān)，是由於 2.0 至 2.6.5 版本中使用者提供的參數(shù)轉(zhuǎn)義過程中採取的措施不足以及 SQL 查詢準備不當造成的。

因此，未經(jīng)身份驗證的攻擊者可以將額外的 SQL 查詢附加到預(yù)先存在的查詢中，從而洩露資料庫中的敏感資料。

該插件由供應(yīng)商「Narinder-singh」提供，在漏洞基本分數(shù)上得分高達 9.8/10，將其歸類為「嚴重」威脅。

在相關(guān)說明中，NVD 也於2023 年12 月9 日強調(diào)比特幣程式碼是一種網(wǎng)路安全風險。某些版本的Bitcoin Core 和Bitcoin Knots 被發(fā)現(xiàn)可以透過將資料偽裝成程式碼來允許繞過資料載體限制。

根據(jù)使用者的比喻，該問題在 2022 年和 2023 年期間被廣泛利用，會降低網(wǎng)路效率，類似於每天接收和篩選垃圾郵件。