Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Membership, Video Gallery, MailChimp Subscribe Forms і темі Estrutura-Basica. Для котрих з’явилися експлоіти.

• WordPress WP Membership 1.2.3 Cross Site Scripting (деталі)
• WordPress WP Membership 1.2.3 Privilege Escalation (деталі)
• WordPress Video Gallery 2.8 Unprotected Mail Page (деталі)
• WordPress Estrutura-Basica File Disclosure (деталі)
• WordPress MailChimp Subscribe Forms 1.1 Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://journal.iitta.gov.ua (хакером TOGEL3739) - 24.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://j2.iitta.gov.ua (хакером TOGEL3739) - 24.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.abud.lviv.ua (хакером NeT.Defacer) - 15.03.2016, зараз сайт вже виправлений адмінами
• http://kleenflo.com.ua (хакером Red hell sofyan) - 15.05.2016, зараз сайт вже виправлений адмінами
• http://kostvlada.org (хакером Red hell sofyan) - 28.06.2016, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Encrypted Contact Form, Simple Backup, FeedWordPress, WP Photo Album Plus і темах ThemeMakers. Для котрих з’явилися експлоіти.

• WordPress Encrypted Contact Form 1.0.4 CSRF / XSS (деталі)
• ThemeMakers WordPress Themes Information Disclosure (деталі)
• WordPress Simple Backup Arbitrary Download (деталі)
• WordPress FeedWordPress 2015.0426 SQL Injection (деталі)
• WordPress WP Photo Album Plus 6.1.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kosei.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://teploart.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://skymodels.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://moevikno.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://energolux-kotel.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.

Десять років тому, 18.07.2006, мій проект розпочав свою роботу. Так що в липні виповнилося десять років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені DAVOSET і Тестування по веб безпеці.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Contact Form To Email, Booking Calendar Contact Form, Media File Manager Advanced, BackupBuddy, Backup Plus. Для котрих з’явилися експлоіти.

• WordPress Contact Form To Email Plugin CSRF / XSS (деталі)
• WordPress Booking Calendar Contact Form 1.0.2 XSS / SQL Injection (деталі)
• WordPress Media File Manager Advanced 1.1.5 XSS / SQL Injection (деталі)
• WordPress BackupBuddy Backup Disclosure (деталі)
• WordPress Backup Plus Backup Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pavlograd-zemlya.gov.ua (хакером Djamel11154) - 04.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rodnukivka-rada.gov.ua (хакером SecurityCrewz) - 18.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://umanrda.gov.ua (хакером SecurityCrewz) - 18.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://korec-misto.rv.ua (хакером shi5 alhacker) - 22.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://shepetivka-rada.gov.ua (хакером sec7or) - 24.05.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.capeauto.com.ua (хакером AslanNeferlerTim) - 03.05.2016, зараз сайт вже виправлений адмінами
• http://www.starnet.lutsk.ua (хакером darkshadow-tn) - 12.06.2016, зараз сайт вже виправлений адмінами
• http://ufashion.com.ua (хакером 3xp1r3) - 28.06.2016, зараз сайт закритий адмінами
• http://divesco.com.ua (хакером 3xp1r3) - 28.06.2016, зараз сайт вже виправлений адмінами
• http://belopt.com.ua (хакером 3xp1r3) - 28.06.2016, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Freshmail, Ad Buttons, RevSlider, Yet Another Related Posts, Roomcloud. Для котрих з’явилися експлоіти.

• WordPress Freshmail 1.5.8 SQL Injection (деталі)
• WordPress Ad Buttons 2.3.1 CSRF / Cross Site Scripting (деталі)
• WordPress RevSlider 3.0.95 File Upload / Execute (деталі)
• WordPress Yet Another Related Posts 4.2.4 CSRF / XSS / Code Execution (деталі)
• WordPress Roomcloud 1.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tennovation.scm.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://scm.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://aboutkids.org.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://olma.kh.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://2service.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.

У червні, 18.06.2016, вийшла нова версія WordPress 4.5.3.

WordPress 4.5.3 це багфікс та секюріті випуск нової 4.5 серії. В якому розробники виправили 17 багів і 8 уразливостей. Це Redirector уразливість, 2 XSS, Information Leakage, DoS в oEmbed, неавторизоване видалення категорії з посту, зміна паролю через кукіс та недостатньо безпечні імена файлів в функції sanitize_file_name.

Також в цей день вийшли WordPress 4.0.12, 4.1.12, 4.2.9, 4.3.4 і 4.4.4. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3 і 4.4 серії, в яких виправлені дані уразливості.