Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Mailster, Smart Marketing SMS And Newsletters Forms, Crowd Ideas, Qiniu Cloudtuchuang, WordApp Mobile. Для котрих з’явилися експлоіти.

• WordPress WP Mailster 1.5.4.0 Cross Site Scripting (деталі)
• WordPress Smart Marketing SMS And Newsletters Forms 1.1.1 XSS (деталі)
• WordPress Crowd Ideas 1.0 Cross Site Scripting (деталі)
• WordPress Qiniu Cloudtuchuang 1.8 Cross Site Scripting (деталі)
• WordPress WordApp Mobile 2.0.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Breezing Forms, WooCommerce, 3rd-Party Inject Results, Super Simple Custom CSS, Z-URL Preview. Для котрих з’явилися експлоіти.

• WordPress Breezing Forms 1.2.7.42 Cross Site Scripting (деталі)
• WordPress WooCommerce 2.0 / 3.0 Directory Traversal (деталі)
• WordPress 3rd-Party Inject Results 0.2 Cross Site Scripting (деталі)
• WordPress Super Simple Custom CSS 1.2 Cross Site Scripting (деталі)
• WordPress Z-URL Preview 1.6.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zbirnyk-nadu.academy.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vnv.asv.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://plomba.org.ua (хакером MiSh) - 20.07.2020 - зараз сайт вже виправлений адмінами
• http://bk-fis.com.ua (хакером PikunPe0ple) - 16.03.2021 - зараз сайт вже виправлений адмінами
• http://filmingcore.pp.ua (хакером PikunPe0ple) - 16.03.2021 - зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

Виявлена уразливість безпеки (CE) в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 14.

Виконання коду через пошкодження пам’яті.

• APPLE-SA-2021-03-08-3 Safari 14.0.3 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах amtyThumb, Advanced Post Type Ratings, In Link, Emag Marketplace Connector, Yoast SEO. Для котрих з’явилися експлоіти.

• WordPress amtyThumb 8.1.3 Cross Site Scripting (деталі)
• WordPress Advanced Post Type Ratings 1.1 Cross Site Scripting (деталі)
• WordPress In Link 1.0 SQL Injection (деталі)
• WordPress Emag Marketplace Connector 1.0 Cross Site Scripting (деталі)
• WordPress Yoast SEO Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Boozang, Cartogiraffe Map, Affiliate Ads For Clickbank Products, AMP Toolbox, DFD Reddcoin Tips. Для котрих з’явилися експлоіти.

• WordPress Boozang 1.0.0 Cross Site Scripting (деталі)
• WordPress Cartogiraffe Map 1.0 Cross Site Scripting (деталі)
• WordPress Affiliate Ads For Clickbank Products 1.3 XSS (деталі)
• WordPress AMP Toolbox 1.9.4 Cross Site Scripting (деталі)
• WordPress DFD Reddcoin Tips 1.1.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vtz.asv.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://journals.dnpb.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://amz.world (хакерами з Jiwa Terlena Team) - 01.04.2020 - зараз сайт вже виправлений адмінами
• http://testa.com.ua (хакером Panataran) - 03.06.2021 - зараз сайт вже закритий адмінами
• http://sirop.in.ua (хакером z3ran) - 16.06.2021

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

П’ятнадцять років тому, 18.07.2006, мій проект розпочав свою роботу. Цього липня виповнилося 15 років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені SecurityAlert та інші Секюріті програми.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.