Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://infokiosk.khm.gov.ua (хакером aDriv4) - 19.06.2024 - похаканий державний сайт
• https://biosept.com.ua (хакером Rayzky) - 11.04.2024
• https://wgsparts.com.ua (хакером CrankySt@lker) - 16.04.2024
• https://sed.ieu.edu.ua (хакером KingSkrupellos) - 20.04.2024
• https://ogpe.nung.edu.ua (хакером KingSkrupellos) - 20.04.2024

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах AN_Gradebook, Ninja Forms, EventON Calendar і темі Medic. Для котрих з’явилися експлоіти.

• WordPress Theme Medic v1.0.0 - Weak Password Recovery Mechanism for Forgotten Password (деталі)
• WordPress Plugin AN_Gradebook 5.0.1 - SQL Injection (деталі)
• WordPress Plugin Ninja Forms 3.6.25 - Reflected XSS (деталі)
• Wordpress Plugin EventON Calendar 4.4 - Unauthenticated Event Access (деталі)
• Wordpress Plugin EventON Calendar 4.4 - Unauthenticated Post Access via IDOR (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://pd.ipiend.gov.ua (хакером KingSkrupellos) - 20.04.2024 - похаканий державний сайт
• https://academyfc.com.ua (хакером Rayzky) - 14.03.2024
• https://yablunivka-nvk.pp.ua (хакером jok3r) - 19.03.2024
• https://uaror.org.ua (хакером BowoHaxor) - 22.03.2024
• DDoS атака на telegraf.in.ua - 10.03.2025

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://lis.freelife.cv.ua (хакером chinafans) - 24.02.2024
• https://baofengradio.com.ua (хакером chinafans) - 24.02.2024
• 14 сайтів хакером Hades - 26.02.2024
• https://academyfc.com.ua (хакером Rayzky) - 14.03.2024
• DDoS атака на ukrainer.net - 30.01.2025

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• Хакнули державну компанію “Укрзалізниця” (росіяни) - 23.03.2025
• https://goshki.freelife.cv.ua (хакером chinafans) - 23.02.2024
• https://ndf.org.ua (хакером Rayzky) - 14.03.2024
• DDoS атака на most.ks.ua - 01.11.2024
• DDoS атака на tvfreedom.io - 17.01.2025

Через кібератаку на Укрзалізницю не працює продаж квитків.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах AN_Gradebook, Ninja Forms, EventON Calendar і темі Medic. Для котрих з’явилися експлоіти.

• WordPress Theme Medic v1.0.0 - Weak Password Recovery Mechanism for Forgotten Password (деталі)
• WordPress Plugin AN_Gradebook 5.0.1 - SQL Injection (деталі)
• WordPress Plugin Ninja Forms 3.6.25 - Reflected XSS (деталі)
• Wordpress Plugin EventON Calendar 4.4 - Unauthenticated Event Access (деталі)
• Wordpress Plugin EventON Calendar 4.4 - Unauthenticated Post Access via IDOR (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://infokiosk.khm.gov.ua (хакером aDriv4) - 19.06.2024 - похаканий державний сайт
• https://ukrmetering.com.ua (хакером M4DI~UciH4) - 25.02.2024
• DDoS атака на unian.ua - 23.10.2024
• Хакнули компанію Lanet (X/Twitter і телефонію) - 19.02.2025
• DDoS атака на lanet.ua - 20.02.2025

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://journal.sops.gov.ua (хакером KatiB) - 10.11.2023 - похаканий державний сайт
• https://3d-shod-razval.com.ua (хакером chinafans) - 23.02.2024
• https://ukrmetrservice.com.ua (хакером M4DI~UciH4) - 25.02.2024
• DDoS атака на tvfreedom.io - 22.09.2024
• DDoS атака на detector.media - 16.10.2024

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах NEX-Forms, Translatepress Multilinugal, Paid Memberships Pro, Backup Migration і темі Workreap. Для котрих з’явилися експлоіти.

• NEX-Forms WordPress plugin < 7.9.7 - Authenticated SQLi (деталі)
• Translatepress Multilinugal WordPress plugin < 2.3.3 - Authenticated SQL Injection (деталі)
• Paid Memberships Pro v2.9.8 (WordPress Plugin) - Unauthenticated SQL Injection (деталі)
• WordPress Plugin Backup Migration 1.2.8 - Unauthenticated Database Backup (деталі)
• WordPress Theme Workreap 2.2.2 - Unauthenticated Upload Leading to Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• Хак локальної мережі Міністерства розвитку громад та територій України (російськими хакерами) - 06.2023
• https://journals.dnpb.gov.ua (хакером KatiB) - 10.11.2023 - похаканий державний сайт
• https://esolar.com.ua (хакером DaGunnaPK1337) - 22.02.2024
• https://comfortpoint.com.ua (хакером Rayzky) - 24.02.2024
• https://keymap.ua (хакером Rayzky) - 24.02.2024