Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Trinity та плагінах Photo Album Plus, Wordfence, Slideshow Gallery, Login Widget With Shortcode. Для котрих з’явилися експлоіти.

• WordPress Trinity Theme Arbitrary File Download (деталі)
• WordPress Photo Album Plus 5.4.4 Cross Site Scripting (деталі)
• WordPress Wordfence 5.2.3 Cross Site Scripting / Bypass (деталі)
• WordPress Slideshow Gallery 1.4.6 Shell Upload (деталі)
• WordPress Login Widget With Shortcode 3.1.1 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://hot-girls.kiev.ua - інфекція була виявлена 30.03.2015. Зараз сайт входить до переліку підозрілих.
• http://posulka.at.ua - інфекція була виявлена 26.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://autoimage.com.ua - інфекція була виявлена 27.04.2015. Зараз сайт входить до переліку підозрілих.
• http://towadojo.kiev.ua - інфекція була виявлена 04.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://naturpharm.com.ua - інфекція була виявлена 06.04.2015. Зараз сайт не входить до переліку підозрілих.

У квітні, 27.04.2015, вийшла нова версія WordPress 4.2.1.

WordPress 4.2.1 це секюріті випуск нової 4.2 серії. В якому розробники виправили одну уразливість. Це критична Cross-Site Scripting уразливість в коментарях.

Також в цей день вийшли WordPress 4.0.4 і 4.1.4. Версії 4.0.4 і 4.1.4 це секюріті випуски 4.0 і 4.1 серії, в яких виправлені дані уразливості й баги.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Urban City, Epic, Authentic, Antioch та плагіні Rich Counter. Для котрих з’явилися експлоіти.

• WordPress Urban City Arbitrary File Download (деталі)
• WordPress Epic Arbitrary File Download (деталі)
• WordPress Authentic Arbitrary File Download (деталі)
• WordPress Antioch Arbitrary File Download (деталі)
• WordPress Rich Counter 1.1.5 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ojigivcirada.gov.ua (хакером Error 7rB) - 08.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://disg-rivne.gov.ua (хакером Kuroi’SH) - 16.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.newgas.org.ua (хакером 1967) - 15.01.2015, зараз сайт вже виправлений адмінами
• http://www.botoksil.com.ua (хакером Blacksmith Hackers) - 21.02.2015, зараз сайт вже виправлений адмінами
• http://7ass.com.ua (хакером Kuroi’SH) - 13.05.2015, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://igrakot.in.ua - інфекція була виявлена 11.05.2015. Зараз сайт входить до переліку підозрілих.
• http://el.dp.ua - інфекція була виявлена 09.05.2015. Зараз сайт входить до переліку підозрілих.
• http://ce.lviv.ua - інфекція була виявлена 30.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://vip-cars.lviv.ua - інфекція була виявлена 30.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://koledg-knutd.com.ua - інфекція була виявлена 13.05.2015. Зараз сайт не входить до переліку підозрілих.

У квітні, 23.04.2015, вийшла нова версія WordPress 4.2.

WordPress 4.2 це перший випуск нової 4.2 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему по замовчуванню, покращене візуальне редагування, що не відволікає, підтримка багатьох локалізацій і зміна мови в налаштуваннях сайту, в адмінці можна зробити повний логаут (щоб вихід був зроблений для всіх пристроїв, з яких заходили в акаунт), підтримка включення відео з Vine та рекомендації плагінів в інсталяторі плагінів.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Також в цей день вийшов WordPress 4.1.3. Версія 4.1.3 це багфікс випуск 4.1 серії.

У квітні, 21.04.2015, вийшла нова версія WordPress 4.1.2.

WordPress 4.1.2 це секюріті випуск нової 4.1 серії. В якому розробники виправили 3 уразливості та зробили 4 посилення безпеки, а також виправили уразливості в багатьох плагінах.

• Критична Cross-Site Scripting уразливість.
• Можливість аплоадити файли з небезпечними іменами.
• Обмежена Cross-Site Scripting уразливість.
• SQL injection уразливість в декількох плагінах.
• Також було виявлено багато плагінів з двома однаковими XSS уразливостями, розробники яких виправили дірки в плагінах разом з WordPress security team.
• 4 посилення безпеки (які розробники не віднесли до уразливостей, що типово для них).

Також в цей день вийшла WordPress 4.0.2. Версія 4.0.2 це секюріті випуск 4.0 серії, в якій виправлені дані уразливості й баги.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://peremyshrada.gov.ua (хакером Abdellah Elmaghribi) - 05.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://izmail-rada.gov.ua (хакером brwsk007) - 11.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://marketpro.biz (хакером wongbodo) - 04.01.2015, зараз сайт вже виправлений адмінами
• http://mantiya.ua (хакером wongbodo) - 04.01.2015, зараз сайт вже виправлений адмінами
• http://usqb.org.ua (хакером Dr.Pc) - 18.04.2015, зараз сайт не працює

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах NativeChurch, lote27, FR0_theme, acento і плагінах Advanced Access Manager, Bulk Delete Users By Email, Like Dislike Counter та Spider Facebook. Для котрих з’явилися експлоіти.

• WordPress NativeChurch / lote27 / FR0_theme / acento File Download (деталі)
• WordPress Advanced Access Manager 2.8.2 File Write / Code Execution (деталі)
• WordPress Bulk Delete Users By Email 1.0 CSRF (деталі)
• WordPress Like Dislike Counter 1.2.3 SQL Injection (деталі)
• WordPress Spider Facebook 1.0.8 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.