Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Corner Ad, Mail Masta, Kama Click Counter, Admin Custom Login та в самому WordPress. Для котрих з’явилися експлоіти.

• WordPress wp-json Content Injection (деталі)
• WordPress Corner Ad 1.0.7 Cross Site Scripting (деталі)
• WordPress Mail Masta 1.0 SQL Injection (деталі)
• WordPress Kama Click Counter 3.4.9 SQL Injection (деталі)
• WordPress Admin Custom Login 2.4.5.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Easy Full Backup, Dance Studio, Easy Table та в самому WordPress. Для котрих з’явилися експлоіти.

• WP Easy Full Backup Brute Forcer (деталі)
• WordPress 4.7.0 / 4.7.1 Content Injection Proof Of Concept (деталі)
• WordPress 4.7.0 / 4.7.1 Content Injection / Code Execution (деталі)
• WordPress Dance Studio 1.0.0 Shell Upload (деталі)
• WordPress Easy Table 1.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://malehivrada.gov.ua (хакером Murrez) - 21.06.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sms.gov.ua (хакерами з ErrOr SquaD) - 06.09.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://wallmakers.com.ua (хакером X-Kokoro_Dz) - 28.05.2019 - зараз сайт вже виправлений адмінами
• http://nemk.com.ua (хакером X-Kokoro_Dz) - 28.05.2019 - зараз сайт вже виправлений адмінами
• http://content-master.org (хакером Imam) - 03.07.2019 - зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://marisel.com.ua - інфекція була виявлена 17.12.2018. Зараз сайт не входить до переліку підозрілих
• http://discover-uzhhorod.com - інфекція була виявлена 09.01.2019. Зараз сайт не входить до переліку підозрілих
• http://utor.pp.ua - інфекція була виявлена 22.03.2019. Зараз сайт не входить до переліку підозрілих
• http://kibas.at.ua - інфекція була виявлена 23.03.2019. Зараз сайт не входить до переліку підозрілих
• http://dontstopathetop.at.ua - інфекція була виявлена 23.03.2019. Зараз сайт не входить до переліку підозрілих

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах CMS Commander Client, InfiniteWP Client, Online Hotel Booking System Pro, User Access Manager та в самому WordPress. Для котрих з’явилися експлоіти.

• WordPress CMS Commander Client 2.21 PHP Object Injection (деталі)
• WordPress InfiniteWP Client 1.5.1.3 / 1.6.0 PHP Object Injection (деталі)
• WordPress Online Hotel Booking System Pro 1.0 SQL Injection (деталі)
• WordPress User Access Manager 1.2.6.7 Cross Site Scripting (деталі)
• WordPress 4.7.0 / 4.7.1 REST API Privilege Escalation (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Stop User Enumeration, Support Plus Responsive Ticket System, WooCommerce Direct Download, Google Forms, FormBuilder. Для котрих з’явилися експлоіти.

• WordPress Stop User Enumeration 1.3.4 User Enumeration (деталі)
• WordPress WP Support Plus Responsive Ticket System 7.1.3 Privilege Escalation (деталі)
• WordPress WooCommerce Direct Download Local File Inclusion (деталі)
• WordPress Google Forms 0.87 PHP Object Injection (деталі)
• WordPress FormBuilder 1.05 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ukrfish.gov.ua (хакерами з chinafans) - 27.05.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://radekhiv-miskrada.gov.ua (хакером Murrez) - 21.06.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://powerlifting.in.ua (хакером Fighter Kamrul) - 19.03.2019 - зараз сайт вже виправлений адмінами
• http://wpc.com.ua (хакером Fighter Kamrul) - 19.03.2019 - зараз сайт вже виправлений адмінами
• http://infonity.com.ua (хакером X-Kokoro_Dz) - 28.05.2019 - зараз сайт вже виправлений адмінами

У грудні, 06.12.2018, вийшла нова версія WordPress 5.0.

WordPress 5.0 це перший випуск нової 5.0 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлені баги.

Серед головних покращень зокрема можна відзначити новий текстовий редактор, пости тепер створюються у вигляді блоків, класичний редактор зроблений у вигляді плагіну, нова тема за замовчуванням та інші нововведення.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://auto-zakaz.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://ramprulad.com.ua - інфекція була виявлена 01.09.2018. Зараз сайт не входить до переліку підозрілих
• http://windows-soft.at.ua - інфекція була виявлена 17.09.2018. Зараз сайт не входить до переліку підозрілих
• http://kupi-vip.com.ua - інфекція була виявлена 18.10.2018. Зараз сайт не входить до переліку підозрілих
• http://flatout.at.ua - інфекція була виявлена 01.11.2018. Зараз сайт не входить до переліку підозрілих

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Support Plus Responsive Ticket System, Copy-Me, Image Slider, Simply Poll, Templatic. Для котрих з’явилися експлоіти.

• WordPress Support Plus Responsive Ticket System 7.1.3 SQL Injection (деталі)
• WordPress Copy-Me 1.0.0 Cross Site Request Forgery (деталі)
• WordPress Image Slider 1.1.41 / 1.1.89 Arbitrary File Deletion (деталі)
• WordPress Simply Poll 1.4.1 SQL Injection (деталі)
• WordPress Templatic 2.3.6 File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.