Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Alemha Watermarker, Playlist for Youtube, WP Video Playlist, Background Image Cropper і темі Travelscape. Для котрих з’явилися експлоіти.

• Wordpress Plugin Alemha Watermarker 1.3.1 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Theme Travelscape v1.0.3 - Arbitrary File Upload (деталі)
• Wordpress Plugin Playlist for Youtube 1.32 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Plugin WP Video Playlist 1.1.1 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Plugin Background Image Cropper v1.2 - Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше, 25.03.2013, я знайшов Full path disclosure, Information Leakage, а 27.03.2013 ще Cross-Site Scripting, Full path disclosure, Information Leakage та SQL Injection уразливості на сайті bonus.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Full path disclosure (WASC-13):

Витік шляху в http://bonus.privatbank.ua/stock/ та в інших розділах.

Information Leakage (WASC-13):

Витік усього SQL запиту (SQL DB Structure Extraction) в шести місцях.

Cross-Site Scripting (WASC-08):

Виявив XSS у чотирьох місцях.

SQL Injection (WASC-19):

Виявив критичні SQL ін’єкції в двох місцях, через які визначив СУБД.

ПриватБанк тоді проігнорував їх та не оплатив, окрім деяких на сайті. Вони лише заплатили за SQL Injection (і ще пару), але в п’ять разів менше від максимальної ціни, хоча це критичні дірки й банк заявляв, що за такі платить максимум. Раніше вони мені лише по XSS та іншим діркам занижували оплату, а з цього сайту почали по SQLi.

Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Admin Bar & Dashboard Access Control, Neontext, Duplicator, File Upload, Membership. Для котрих з’явилися експлоіти.

• WordPress Plugin Admin Bar & Dashboard Access Control Version: 1.2.8 - “Dashboard Redirect” field Stored Cross-Site Scripting (XSS) (деталі)
• Neontext Wordpress Plugin - Stored XSS (деталі)
• WordPress Plugin Duplicator < 1.5.7.1 - Unauthenticated Sensitive Data Exposure to Account Takeover (деталі)
• WordPress File Upload Plugin < 4.23.3 - Stored XSS (деталі)
• Wordpress Plugin Membership For WooCommerce < v2.1.7 - Arbitrary File Upload to Shell (Unauthenticated) (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Media Library Assistant, Sonaar Music, Augmented-Reality, Canto і темі Seotheme. Для котрих з’явилися експлоіти.

• Media Library Assistant Wordpress Plugin - RCE and LFI (деталі)
• Wordpress Sonaar Music Plugin 4.7 - Stored XSS (деталі)
• Wordpress Augmented-Reality - Remote Code Execution Unauthenticated (деталі)
• Wordpress Seotheme - Remote Code Execution Unauthenticated (деталі)
• Wordpress Plugin Canto < 3.0.5 - Remote File Inclusion (RFI) and Remote Code Execution (RCE) (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше, 24.03.2013, я знайшов Information Leakage, Insufficient Authentication та Full path disclosure уразливості на сайті idea.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Information Leakage (WASC-13):

http://217.117.65.248/s3/monitoring/report/list
http://217.117.65.248/s3/monitoring/report/list.html

Витік інформації про звіти банку, що призначені не для всіх.

Insufficient Authentication (WASC-01):

Доступ до цього розділу на https://idea.privatbank.ua заборонений, але доступний на http://217.117.65.248 - якщо зайти на сайт по IP.

А також це стосується інших ресурсів, які на idea.privatbank.ua вимагають аутентифікації.

Full path disclosure (WASC-13):

http://217.117.65.248/s3/monitoring/report/list
http://217.117.65.248/s3/monitoring/report/list.html

Тут є витік повного шляху на сервері (чотирьох скриптів) та адреси в LAN, а також наявні ще інші дірки, про які напишу окремо.

ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах adivaha Travel, Forminator, Elementor, Masterstudy LMS. Для котрих з’явилися експлоіти.

• WordPress adivaha Travel Plugin 2.3 - SQL Injection (деталі)
• WordPress adivaha Travel Plugin 2.3 - Reflected XSS (деталі)
• WordPress Plugin Forminator 1.24.6 - Unauthenticated Remote Command Execution (деталі)
• Wordpress Plugin Elementor 3.5.5 - Iframe Injection (деталі)
• Wordpress Plugin Masterstudy LMS 3.0.17 - Unauthenticated Instructor Account Creation (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

На початку жовтня я знайшов Information Leakage уразливість на сайті connect.dtek-kem.com.ua. Відразу я вислав ці дані адмінам.

Але офіційна пошта в них виявилась не робоча - скринька переповнена. Вислав через FB і працівники подякували. Хоча досі не кажуть чи виправили.

Information Leakage (WASC-13):

Витік паролів користувачів сайту ДТЕК при реєстрації. Вони по смс вислали мій логін і пароль. Який я створив при реєстрації та надійно зберіг, щоб ніхто не дізнався.

Кожен силовик може перехопити смс, як СБУ та інші, а також злочинці, що мають прилади. І постійно слідкують за дзвінками і повідомленнями українців. Тому в смс не має бути постійних паролів, лише одноразові (другий фактор).

Раніше, 22.03.2013, я знайшов Information Leakage, Insufficient Authentication та Brute Force уразливості на сайті idea.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Information Leakage (WASC-13):

http://217.117.65.248/s3/bestpercent/

Витік інформації банку, що призначена не для всіх.

Insufficient Authentication (WASC-01):

Доступ до цього розділу на https://idea.privatbank.ua/s3/bestpercent/ заборонений, але доступний на http://217.117.65.248 - якщо зайти на сайт по IP.

А також це стосується інших ресурсів, які на idea.privatbank.ua вимагають аутентифікації.

Brute Force (WASC-11):

https://idea.privatbank.ua/sa/close/login
https://idea.privatbank.ua/sa/cpanel/ та ще одна

Відсутність захисту від підбору пароля адміна.

ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах AN_Gradebook, Ninja Forms, EventON Calendar і темі Medic. Для котрих з’явилися експлоіти.

• WordPress Theme Medic v1.0.0 - Weak Password Recovery Mechanism for Forgotten Password (деталі)
• WordPress Plugin AN_Gradebook 5.0.1 - SQL Injection (деталі)
• WordPress Plugin Ninja Forms 3.6.25 - Reflected XSS (деталі)
• Wordpress Plugin EventON Calendar 4.4 - Unauthenticated Event Access (деталі)
• Wordpress Plugin EventON Calendar 4.4 - Unauthenticated Post Access via IDOR (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я навів численні уразливості на bonus.privatbank.ua. Також у понад тридцяти публікаціях про безпеку e-commerce сайтів в Уанеті я писав про уразливості знайдені мною на сайтах онлайн магазинів і банків з 2006 року, а також про хакнуті та інфіковані українські e-commerce сайти. Ось ще приклад.

Раніше, 09.09.2024, я знайшов Insufficient Authentication уразливості на shafa.ua. Про що відразу написав власникам магазину.

Insufficient Authentication (WASC-01):

При реєстрації видає слабкий пароль. Якщо користувач сайту не змінить його, то пароль в п’ять символів швидко підберуть.

Також не працює зміна паролю на сайті, що може завадити користувачам замінити слабкий пароль. Зміг змінити його не через пошту, а лише через відправлення смс на телефон.

Адміни по хамські мені відповіли та проігнорували ці уразливості.