Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WooCommerce Amazon Affiliates, Exquisite Ultimate Newspaper, TheCartPress, Ultimate Product Catalogue і XSS уразливість в WordPress. Для котрих з’явилися експлоіти.

• WordPress WooCommerce Amazon Affiliates 7.0 Shell Upload / File Disclosure (деталі)
• WordPress 4.2 Cross Site Scripting (деталі)
• WordPress Exquisite Ultimate Newspaper 1.3.3 Cross Site Scripting (деталі)
• WordPress TheCartPress 1.3.9 XSS / Local File Inclusion (деталі)
• WordPress Ultimate Product Catalogue 3.1.2 XSS / CSRF / File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://res.com.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kipt.kharkov.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://7sky.net.ua - інфекція була виявлена 24.05.2016. Зараз сайт входить до переліку підозрілих.
• http://fpd.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://kondi.kiev.ua - інфекція була виявлена 24.05.2016. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Add Link To Facebook, Premium SEO Pack, InBoundio Marketing, WPshop eCommerce і темі QAEngine. Для котрих з’явилися експлоіти.

• WordPress Add Link To Facebook 1.215 Cross Site Scripting (деталі)
• WordPress Premium SEO Pack 1.8.0 Shell Upload / File Disclosure (деталі)
• WordPress QAEngine Theme 1.4 Privilege Escalation (деталі)
• WordPress InBoundio Marketing 2.0 Shell Upload (деталі)
• WordPress WPshop eCommerce 1.3.9.5 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У травні, 06.05.2016, вийшла нова версія WordPress 4.5.2.

WordPress 4.5.2 це багфікс та секюріті випуск нової 4.5 серії. В якому розробники виправили 2 уразливості. Це Code Execution (SOME) уразливість в бібліотеці Plupload та XSS уразливість в медіа плеєрі MediaElement.js, що використовуються в WP.

Також в цей день вийшли WordPress 4.0.11, 4.1.11, 4.2.8, 4.3.4 і 4.4.3. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3 і 4.4 серії, в яких виправлені дані уразливості.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://loda.gov.ua (хакерами з СПРУТ) - 12.05.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tyriyskzem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://liubeshivzem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ntpu.org.ua (хакером bl4ck_cod3) - 14.03.2016, зараз сайт вже виправлений адмінами
• http://www.kleps.com.ua (хакером WebHan) - 19.04.2016, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Reflex Gallery, SlideShow Gallery, NEX-Forms, Yoast Google Analytics, Tune Library. Для котрих з’явилися експлоіти.

• WordPress Reflex Gallery Upload (деталі)
• WordPress SlideShow Gallery Authenticated File Upload (деталі)
• WordPress NEX-Forms 3.0 SQL Injection (деталі)
• WordPress Yoast Google Analytics Cross Site Scripting (деталі)
• WordPress Tune Library 1.5.4 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://e-shop.uaslotcar.com - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kaf-bm.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://lrt.kipt.kharkov.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kaf-ef.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://bugor.lg.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.

У квітні, 26.04.2016, вийшла нова версія WordPress 4.5.1.

WordPress 4.5.1 це багфікс випуск нової 4.5 серії. В якому розробники виправили 12 багів. Нова версія вийшла через два тижні після WordPress 4.5.

Також в ній виправлені дві Full path disclosure, що розробники віднесли до багів.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Work The Flow, Creative Contact Form, N-Media Website Contact Form, Community Events, NEX-Forms. Для котрих з’явилися експлоіти.

• WordPress Work The Flow Upload (деталі)
• WordPress Creative Contact Form Upload (деталі)
• WordPress N-Media Website Contact Form Upload (деталі)
• WordPress Community Events 1.3.5 SQL Injection (деталі)
• WordPress NEX-Forms 3.0 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ivanychizem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vol-volynzem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.lato.cpanel1.adamant.ua (хакером Mr.Kro0oz.305) - 06.02.2016, зараз сайт вже виправлений адмінами
• http://www.training-3000.com.ua (хакером BALA SNIPER) - 07.03.2016, зараз сайт вже виправлений адмінами
• http://adrenalinlab.lime.od.ua (хакером TheWayEnd) - 13.03.2016, зараз сайт вже виправлений адмінами