Websecurity - Веб безпека

У травні, 06.05.2016, вийшла нова версія WordPress 4.5.2.

WordPress 4.5.2 це багфікс та секюріті випуск нової 4.5 серії. В якому розробники виправили 2 уразливості. Це Code Execution (SOME) уразливість в бібліотеці Plupload та XSS уразливість в медіа плеєрі MediaElement.js, що використовуються в WP.

Також в цей день вийшли WordPress 4.0.11, 4.1.11, 4.2.8, 4.3.4 і 4.4.3. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3 і 4.4 серії, в яких виправлені дані уразливості.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://loda.gov.ua (хакерами з СПРУТ) - 12.05.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tyriyskzem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://liubeshivzem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ntpu.org.ua (хакером bl4ck_cod3) - 14.03.2016, зараз сайт вже виправлений адмінами
• http://www.kleps.com.ua (хакером WebHan) - 19.04.2016, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Reflex Gallery, SlideShow Gallery, NEX-Forms, Yoast Google Analytics, Tune Library. Для котрих з’явилися експлоіти.

• WordPress Reflex Gallery Upload (деталі)
• WordPress SlideShow Gallery Authenticated File Upload (деталі)
• WordPress NEX-Forms 3.0 SQL Injection (деталі)
• WordPress Yoast Google Analytics Cross Site Scripting (деталі)
• WordPress Tune Library 1.5.4 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://e-shop.uaslotcar.com - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kaf-bm.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://lrt.kipt.kharkov.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kaf-ef.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://bugor.lg.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.

У квітні, 26.04.2016, вийшла нова версія WordPress 4.5.1.

WordPress 4.5.1 це багфікс випуск нової 4.5 серії. В якому розробники виправили 12 багів. Нова версія вийшла через два тижні після WordPress 4.5.

Також в ній виправлені дві Full path disclosure, що розробники віднесли до багів.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Work The Flow, Creative Contact Form, N-Media Website Contact Form, Community Events, NEX-Forms. Для котрих з’явилися експлоіти.

• WordPress Work The Flow Upload (деталі)
• WordPress Creative Contact Form Upload (деталі)
• WordPress N-Media Website Contact Form Upload (деталі)
• WordPress Community Events 1.3.5 SQL Injection (деталі)
• WordPress NEX-Forms 3.0 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ivanychizem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vol-volynzem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.lato.cpanel1.adamant.ua (хакером Mr.Kro0oz.305) - 06.02.2016, зараз сайт вже виправлений адмінами
• http://www.training-3000.com.ua (хакером BALA SNIPER) - 07.03.2016, зараз сайт вже виправлений адмінами
• http://adrenalinlab.lime.od.ua (хакером TheWayEnd) - 13.03.2016, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах MiwoFTP, Ajax Store Locator, WP-Mon, Citizen Space, Content Slide. Для котрих з’явилися експлоіти.

• WordPress MiwoFTP 1.0.5 CSRF Command Execution (деталі)
• WordPress Ajax Store Locator 1.2 SQL Injection (деталі)
• WordPress WP-Mon Arbitrary File Download (деталі)
• WordPress Citizen Space 1.1 Cross Site Scripting (деталі)
• WordPress Content Slide 1.4.2 CSRF / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mak.te.ua - інфекція була виявлена 26.04.2016. Зараз сайт входить до переліку підозрілих.
• http://opz.org.ua - інфекція була виявлена 26.04.2016. Зараз сайт не входить до переліку підозрілих.
• http://uaslotcar.com - інфекція була виявлена 26.04.2016. Зараз сайт входить до переліку підозрілих.
• http://tntu.edu.ua - інфекція була виявлена 26.04.2016. Зараз сайт не входить до переліку підозрілих.
• http://ukrblank.com - інфекція була виявлена 26.04.2016. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Video Gallery, MiwoFTP, WP Statistics та про програму WordPress Brute Forcer (для підбору паролей через Brute Force уразливість). Для котрих з’явилися експлоіти.

• WordPress Video Gallery 2.8 SQL Injection (деталі)
• WordPress Brute Forcer 2.0 (деталі)
• WordPress MiwoFTP 1.0.5 Cross Site Request Forgery (деталі)
• WordPress MiwoFTP 1.0.5 CSRF / Cross Site Scripting (деталі)
• WordPress WP Statistics 9.1.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.