Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Booking Calendar, Events Calendar, Form Maker, Pie Register, Tooltipy. Для котрих з’явилися експлоіти.

• WordPress Booking Calendar 3.0.0 Cross Site Scripting / SQL Injection (деталі)
• WordPress Events Calendar 1.0 SQL Injection (деталі)
• WordPress Form Maker 1.12.24 XSS / CSRF / SQL Injection (деталі)
• WordPress Pie Register Blind SQL Injection (деталі)
• WordPress Tooltipy 5.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://npstudies.dnpb.gov.ua (хакером KatiB) - 01.06.2021 - похаканий державний сайт
• http://shpola-otg.gov.ua (хакером LahBodoAmat) - 09.06.2021 - похаканий державний сайт
• http://natalyz.zzz.com.ua (росіянами) - 15.03.2022
• https://appmo.sspu.sumy.ua (росіянами) - 15.03.2022
• http://nasikovskyi.com (хакером G0ldPr3m!uM) - 28.03.2022

Також весною росіяни успішно атакували міністерство.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах User Role Editor, WP User Groups, WP ULike, Peugeot Music. Для котрих з’явилися експлоіти.

• WordPress User Role Editor Plugin Privilege Escalation (деталі)
• WordPress WP User Groups 2.0.0 Cross Site Request Forgery (деталі)
• WordPress WP ULike 2.8.1 / 3.1 Cross Site Scripting (деталі)
• WordPress WP ULike 2.8.1 / 3.1 Arbitrary Data Deletion (деталі)
• WordPress Peugeot Music 1.0 Shell Upload / Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://doks.kyivcity.gov.ua (хакером z3ran gaza hack3er) - 23.06.2021 - похаканий державний сайт
• http://patp.academy.gov.ua (хакером KatiB) - 01.06.2021 - похаканий державний сайт
• https://budmens.kiev.ua (росіянами) - 15.03.2022
• https://3.utrend.biz.ua (росіянами) - 15.03.2022
• https://4.utrend.biz.ua (росіянами) - 15.03.2022

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zbirnyk-nadu.academy.gov.ua (хакером Mr.Kro0oz.305) - 27.05.2021 - похаканий державний сайт
• http://journals.dnpb.gov.ua (хакером Mr.Kro0oz.305) - 27.05.2021 - похаканий державний сайт
• http://kraineva.com.ua (росіянами) - 15.03.2022
• https://1.utrend.biz.ua (росіянами) - 15.03.2022
• https://2.utrend.biz.ua (росіянами) - 15.03.2022

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах UK / Responsive / WF Cookie Consent, WP With Spritz, Form Maker. Для котрих з’явилися експлоіти.

• WordPress UK Cookie Consent 2.3.9 Cross Site Scripting (деталі)
• WordPress WP With Spritz 1.0 File Inclusion (деталі)
• WordPress Form Maker 1.12.20 CSV Injection (деталі)
• WordPress Responsive Cookie Consent 1.7 / 1.6 / 1.5 Cross Site Scripting (деталі)
• WordPress WF Cookie Consent 1.1.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах File Upload, WP Image Zoom, Caldera Forms, WD Instagram Feed Premium, Woo Import Export. Для котрих з’явилися експлоіти.

• WordPress File Upload 4.3.2 Cross Site Scripting (деталі)
• WordPress WP Image Zoom 1.23 Denial Of Service (деталі)
• WordPress Caldera Forms 1.5.9.1 Cross Site Scripting (деталі)
• WordPress WD Instagram Feed Premium 1.3.0 Cross Site Scripting (деталі)
• WordPress Woo Import Export 1.0 Arbitrary File Deletion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zhodkl.zt.gov.ua (хакерами з Trenggalek Cyber Army) - 22.01.2021 - похаканий державний сайт
• http://journal.sops.gov.ua (хакером Mr.Kro0oz.305) - 21.05.2021 - похаканий державний сайт
• http://vtz.asv.gov.ua (хакером Mr.Kro0oz.305) - 27.05.2021 - похаканий державний сайт
• http://vnv.asv.gov.ua (хакером Mr.Kro0oz.305) - 27.05.2021 - похаканий державний сайт
• http://jna.bio.gov.ua (хакером Mr.Kro0oz.305) - 27.05.2021 - похаканий державний сайт

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Fields, Google Drive, Activity Logs, File Upload, Star Review System. Для котрих з’явилися експлоіти.

• WordPress Simple Fields 0.3.5 File Inclusion / Remote Code Execution (деталі)
• WordPress Google Drive 2.2 Remote Code Execution (деталі)
• WordPress Activity Logs 2.4.0 Cross Site Scripting (деталі)
• WordPress File Upload 4.3.3 Cross Site Scripting (деталі)
• WordPress Rating-Widget: Star Review System 2.8.9 Information Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://olevsk-vlada.gov.ua (хакерами з Trenggalek Cyber Army) - 22.01.2021 - похаканий державний сайт
• https://saee.gov.ua (хакером aDriv4) - 03.02.2021 - похаканий державний сайт
• https://priazovrada.gov.ua (хакером FRK48) - 23.02.2021 - похаканий державний сайт
• https://gl-rayrada.gov.ua (хакером SeRaVo BlackHaT) - 07.03.2021 - похаканий державний сайт
• https://zt.gov.ua (росіянами) - 13.03.2022 - похаканий державний сайт
• http://comfort-lux.com (хакером KAKEGURAI) - 12.10.2021
• http://experts.in.ua (росіянами) - 15.03.2022
• https://moretour.com.ua (росіянами) - 15.03.2022
• https://begunkov.net (росіянами) - 15.03.2022
• https://kz.begunkov.net (росіянами) - 15.03.2022