Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах FAdvertisement, Share-On-Diaspora, WpJobBoard, Ads Pro, Gym Management System. Для котрих з’явилися експлоіти.

• WordPress FAdvertisement SQL Injection (деталі)
• WordPress Share-On-Diaspora Cross Site Scripting (деталі)
• WordPress WpJobBoard 4.5.1 Cross Site Scripting (деталі)
• WordPress Ads Pro 3.4 Cross Site Scripting / SQL Injection (деталі)
• WordPress Gym Management System Code Execution / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Salutation Responsive, GamePlan Event And Gym Fitness і в плагінах Easy Modal, Podlove Podcast Publisher, PressForward. Для котрих з’явилися експлоіти.

• Salutation Responsive 3.0.15 Cross Site Scripting (деталі)
• WordPress GamePlan Event And Gym Fitness Theme 1.5.13.2 Cross Site Scripting (деталі)
• WordPress Easy Modal 2.0.17 SQL Injection (деталі)
• WordPress Podlove Podcast Publisher 2.5.3 SQL Injection (деталі)
• WordPress PressForward 4.3.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://myhsilrada.gov.ua (хакером Mamad Warning) - 04.02.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://myhsilrada-otg.gov.ua (хакером Mamad Warning) - 04.02.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ns-plus.com.ua (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
• http://device.ck.ua (хакером Black kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
• http://uk.energobank.com.ua (хакером Bax 026 Of Iran) - 04.02.2020 - зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

Вітаю вас з Новим роком!

З нагоди Нового року, Різдва Христового та інших свят пропоную вам подивитися мої святкові листівки на флеші. На українській мові, російській мові та англійські мові.

Також подивіться мої подарунки на Facebook.

Бажаю вам всього найкращого .

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Ultimate Affiliate Pro, FormCraft Form Builder, YouTube Embed Plus, Stop User Enumeration, Logosware Suite. Для котрих з’явилися експлоіти.

• WordPress Ultimate Affiliate Pro 3.6 Cross Site Scripting (деталі)
• WordPress FormCraft Form Builder 3.2.31 Cross Site Scripting (деталі)
• WordPress YouTube Embed Plus 11.8.1 Cross Site Request Forgery (деталі)
• WordPress Stop User Enumeration 1.3.8 User Enumeration (деталі)
• WordPress Logosware Suite Uploader 1.1.6 File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://uon.gov.ua (хакером FaHaD-HacK-IRaQ) - 13.03.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://perechinrda.gov.ua (хакером Mamad Warning) - 04.02.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://myhsilrada.gov.ua (хакером Mamad Warning) - 04.02.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://retrocup.net (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
• http://list.ns-plus.com.ua (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
• http://openheart.in.ua (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
• http://forum.umka.org.ua (хакером Bax 026 Of Iran) - 04.02.2020 - зараз сайт вже виправлений адмінами
• http://maps.if.ua (хакером Bax 026 Of Iran) - 04.02.2020 - зараз сайт вже виправлений адмінами
• http://texcarmats.com (хакером TheWayEnd) - 11.02.2020 - зараз сайт вже виправлений адмінами
• http://ukrgranite.com (хакером Mr.Kro0oz.305) - 21.11.2020 - зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Photo Gallery, Download Manager, FormCraft Basic, Ultimate Product Catalogue, Task Manager Pro. Для котрих з’явилися експлоіти.

• WordPress Photo Gallery 1.3.34 / 1.3.42 Path Traversal (деталі)
• WordPress Download Manager 2.9.46 / 2.9.51 Cross Site Scripting (деталі)
• WordPress FormCraft Basic 1.0.5 SQL Injection (деталі)
• WordPress Ultimate Product Catalogue 4.2.2 SQL Injection (деталі)
• WordPress Task Manager Pro 1.31 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://voiptrade.com.ua - інфекція була виявлена 08.07.2019. Зараз сайт не входить до переліку підозрілих
• http://vanna.top - інфекція була виявлена 22.08.2019. Зараз сайт не входить до переліку підозрілих
• http://student-taxi.ua - інфекція була виявлена 24.08.2019. Зараз сайт не входить до переліку підозрілих
• http://12steps.od.ua - інфекція була виявлена 21.12.2019. Зараз сайт не входить до переліку підозрілих
• http://ak.svl.in.ua - інфекція була виявлена 23.12.2019. Зараз сайт не входить до переліку підозрілих
• http://coffeesolutions.com.ua - інфекція була виявлена 29.05.2020. Зараз сайт не входить до переліку підозрілих
• http://freakychicky.com.ua - інфекція була виявлена 12.06.2020. Зараз сайт не входить до переліку підозрілих
• http://mebelok.pp.ua - інфекція була виявлена 16.06.2020. Зараз сайт не входить до переліку підозрілих
• http://footmir.com - інфекція була виявлена 06.07.2020. Зараз сайт входить до переліку підозрілих
• http://cs-hack.fun - інфекція була виявлена 18.07.2020. Зараз сайт входить до переліку підозрілих

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://uzvif.gov.ua (хакером Simsimi) - 18.02.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://agro.gov.ua (хакером dadas) - 23.02.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://brainside.org (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
• http://uristcom.com.ua (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
• http://ukrtransmedia.com (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами