Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів, як от магазин НБУ.

• https://coins.bank.gov.ua (хакером Panataran) - 19.02.2026 - похаканий державний сайт
• https://smartgrow.com.ua (хакерами з Fallaga Team) - 29.06.2024
• https://tks.kharkov.ua (хакером omgsmok) - 10.07.2024
• https://jareck.kiev.ua (хакерами з Azzasec) - 12.07.2024
• DDoS атака на lanet.ua - 12.03.2026

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Alemha Watermarker, Playlist for Youtube, WP Video Playlist, Background Image Cropper і темі Travelscape. Для котрих з’явилися експлоіти.

• Wordpress Plugin Alemha Watermarker 1.3.1 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Theme Travelscape v1.0.3 - Arbitrary File Upload (деталі)
• Wordpress Plugin Playlist for Youtube 1.32 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Plugin WP Video Playlist 1.1.1 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Plugin Background Image Cropper v1.2 - Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://kompanievska-selrada.gov.ua (хакером Panataran) - 07.09.2024 - похаканий державний сайт
• https://autoliner.com.ua (хакером PantheonSec) - 18.06.2024
• https://gruzovoe-taksi.kiev.ua (хакером PantheonSec) - 18.06.2024
• https://v7125.dh.net.ua (хакером Ali HawleRy) - 19.06.2024
• https://znz28.cv.ua (хакером Ali HawleRy) - 19.06.2024

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://dnpb.gov.ua (хакером L4663R666H05T) - 07.09.2024 - похаканий державний сайт
• https://agleader.com.ua (хакером BlaDDzeRR) - 09.05.2024
• https://visa-ok.com.ua (хакером Mr.Rm19) - 19.05.2024
• https://zolotiy-vik.kiev.ua (хакером Mr.Rm19) - 19.05.2024
• https://taxobus.com.ua (хакером PantheonSec) - 18.06.2024

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://journal.iitta.gov.ua (хакером L4663R666H05T) - 07.09.2024 - похаканий державний сайт
• https://web.zp.ua (хакером Mr.Rm19) - 19.05.2024
• https://presto.zp.ua (хакером Mr.Rm19) - 19.05.2024
• https://kstz.kiev.ua (хакером Hunter Bajwa) - 20.05.2024
• https://ligos.ua (хакером PikunPe0ple) - 11.12.2024

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Admin Bar & Dashboard Access Control, Neontext, Duplicator, File Upload, Membership. Для котрих з’явилися експлоіти.

• WordPress Plugin Admin Bar & Dashboard Access Control Version: 1.2.8 - “Dashboard Redirect” field Stored Cross-Site Scripting (XSS) (деталі)
• Neontext Wordpress Plugin - Stored XSS (деталі)
• WordPress Plugin Duplicator < 1.5.7.1 - Unauthenticated Sensitive Data Exposure to Account Takeover (деталі)
• WordPress File Upload Plugin < 4.23.3 - Stored XSS (деталі)
• Wordpress Plugin Membership For WooCommerce < v2.1.7 - Arbitrary File Upload to Shell (Unauthenticated) (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://uaj.uac.gov.ua (хакером L4663R666H05T) - 07.09.2024 - похаканий державний сайт
• https://library.pdpu.edu.ua (хакером Security Ghost) - 09.01.2024
• https://korzinka.ua (хакером CrankySt@lker) - 12.05.2024
• https://olive-branch.com.ua (хакером Mr.Rm19) - 19.05.2024
• https://svit-world.kiev.ua (хакером Mr.Rm19) - 19.05.2024

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://polinfo.gov.ua (хакером Negat1ve) - 30.08.2024 - похаканий державний сайт
• https://smm.stu.cn.ua (хакером Hunter Bajwa) - 08.05.2024
• https://uzbagoysya.com.ua (хакером WindStream) - 11.05.2024
• https://hotel24.zp.ua (хакером Mr.Rm19) - 19.05.2024
• https://inm.zp.ua (хакером Mr.Rm19) - 19.05.2024

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Media Library Assistant, Sonaar Music, Augmented-Reality, Canto і темі Seotheme. Для котрих з’явилися експлоіти.

• Media Library Assistant Wordpress Plugin - RCE and LFI (деталі)
• Wordpress Sonaar Music Plugin 4.7 - Stored XSS (деталі)
• Wordpress Augmented-Reality - Remote Code Execution Unauthenticated (деталі)
• Wordpress Seotheme - Remote Code Execution Unauthenticated (деталі)
• Wordpress Plugin Canto < 3.0.5 - Remote File Inclusion (RFI) and Remote Code Execution (RCE) (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://lvivlisozahyst.co.ua (хакером Hunter Bajwa) - 02.05.2024 - похаканий державний сайт
• https://ecd.knmu.edu.ua (хакером KingSkrupellos) - 01.05.2024
• https://visnyk.idgu.edu.ua (хакером KingSkrupellos) - 01.05.2024
• https://abryl.com.ua (хакером Scorpiol) - 04.05.2024
• https://entomology.kharkiv.ua (хакером Security Ghost) - 09.05.2024