８日、ウェブ・コンテンツ管理ソフトであるワードプレスの暗号資産（仮想通貨）ウィジェット・プラグインが「深刻なサイバーセキュリティ・リスク」に指定された。

　ＣＳＡ（シンガポール・サイバーセキュリティ庁）が公開したセキュリティ情報において、「ザ・クリプトカレンシー・ウィジェット‐プライス・ティッカー＆コイン・リスト」というプラグインがサイバーセキュリティ・リスクとして特定され、機密情報を引き出すために悪用される可能性があるとされた。

　この暗号資産ウィジェットの基本スコアは９．８／１０で、ＣＳＡが９／１０以上のスコアの脆弱性を指すために使用する「深刻な」脆弱性グループに分類された。

●この暗号資産ウィジェット・プラグインの脆弱性

　米国政府による標準ベース脆弱性管理データのリポジトリであるＶＮＤ（国立脆弱性データベース）は、この暗号資産プラグインには、バージョン２．０から２．６．５の「コインスリスト」パラメーターを通じた、ＳＱＬインジェクションへの脆弱性が存在するとした。

　この脆弱性は、ユーザー指定パラメーターのエスケープ処理が不十分で、既存のＳＱＬクエリへの準備が不足していたために生じたものだ。これにより、データベースからの機密情報の抽出が許可され、無許可の攻撃者が既存のクエリに構造化言語クエリを追加することが可能になっている。

　セキュリティ会社のＣＶＥプログラムによると、このウィジェットは「ナリンダーシン」というベンダーが供給しており、バージョン２．０から２．６．５に脆弱性が含まれていた。

●暗号資産を悩ますサイバーセキュリティ・リスク

　暗号資産業界ではセキュリティ脆弱性がますます一般的になっている。１月２６日には、ビットコイン（ＢＴＣ）ＡＴＭを製造するラマッス・インダストリーズが、悪用された場合ビットコインＡＴＭをハッカーに「完全にコントロール」される可能性がある脆弱性に対処した。

　ＩＯアクテイブでハードウェア・セキュリティ担当ディレクターを務めるガブリエル・ゴンザレス氏は、この脆弱性を悪用することで、ハッカーはＡＴＭから全ての資金を抜き出し、紙幣読取機を操作して不正な入金額を表示することが可能になると報告した。

　この脆弱性は、セキュリティ会社ＩＯアクティブのホワイト・ハッカーのチームが、２３年にラマッスのビットコインＡＴＭへの侵入を試みたことで発覚した。この研究者らは複数の脆弱性を特定・利用し、最終的にＡＴＭの完全なコントロールを得た。

（イメージ写真提供：１２３ＲＦ）

https://cryptonews.com/news/crypto-widget-wordpress-plugin-flagged-as-critical-cybersecurity-risk.htm

This story originally appeared on cryptonews.com.

最新記事
ランキングページ
ビットコイン詳細ページ
イーサ詳細ページ
ＸＲＰ詳細ページ