Архів для категорії 'Уразливості'

Уразливості в плагінах для WordPress №317

23:57 29.08.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах BestWebSoft, Ultimate Form Builder, Connection Information, AccessPress Social Icons, Wow Forms. Для котрих з’явилися експлоіти.

  • WordPress BestWebSoft XSS / CSRF (деталі)
  • WordPress Ultimate Form Builder Cross Site Scripting (деталі)
  • WordPress Connection Information Cross Site Request Forgery (деталі)
  • WordPress AccessPress Social Icons 1.6.6 SQL Injection (деталі)
  • WordPress Wow Forms 2.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №317

23:58 26.08.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WHIZZ, CopySafe, Spider Event Calendar, Tribulant Slideshow Gallery та темі Divi. Для котрих з’явилися експлоіти.

  • WordPress WHIZZ Cross Site Request Forgery (деталі)
  • WordPress Elegant Themes Divi Theme Directory Traversal (деталі)
  • WordPress CopySafe Web Cross Site Request Forgery (деталі)
  • WordPress Spider Event Calendar 1.5.51 Blind SQL Injection (деталі)
  • WordPress Tribulant Slideshow Gallery 1.6.5 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №317

23:54 27.06.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Apptha Slider Gallery, Membership Simplified, Firewall та деяких інших. Для котрих з’явилися експлоіти.

  • WordPress Apptha Slider Gallery 1.0 SQL Injection (деталі)
  • WordPress Membership Simplified 1.58 Arbitrary File Download (деталі)
  • WordPress Membership Simplified 1.58 Arbitrary File Download (деталі)
  • WordPress Multiple Plugin File Upload (деталі)
  • WordPress Firewall 2 1.3 Cross Site Request Forgery / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №316

23:54 25.06.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах PICA Photo Gallery, Apptha Slider Gallery, Mac Photo Gallery і самому WordPress. Для котрих з’явилися експлоіти.

  • WordPress 4.5.3 Press This Function CSRF / Denial Of Service (деталі)
  • WordPress 4.5.3 Audio Playlist Cross Site Scripting (деталі)
  • WordPress PICA Photo Gallery 1.0 SQL Injection (деталі)
  • WordPress Apptha Slider Gallery 1.0 Arbitrary File Download (деталі)
  • WordPress Mac Photo Gallery 3.0 Arbitrary File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №315

23:51 22.06.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах VaultPress, Supsystic, User Login Log, Contact Form Manager, Contact Form. Для котрих з’явилися експлоіти.

  • WordPress VaultPress 1.8.4 Remote Code Execution / Man-In-The-Middle (деталі)
  • WordPress Popup By Supsystic 1.7.6 Cross Site Request Forgery (деталі)
  • WordPress User Login Log 2.2.1 Cross Site Scripting (деталі)
  • WordPress Contact Form Manager CSRF / XSS (деталі)
  • WordPress Contact Form 4.0.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №314

23:49 28.05.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Magic Fields, Google Analytics Dashboard, Alpine PhotoTile For Instagram і в темі Atahualpa. Для котрих з’явилися експлоіти.

  • WordPress Atahualpa Theme Cross Site Request Forgery (деталі)
  • WordPress Atahualpa Theme Cross Site Scripting (деталі)
  • WordPress Magic Fields 1 1.7.1 Cross Site Scripting (деталі)
  • WordPress Google Analytics Dashboard 2.1.1 Cross Site Scripting (деталі)
  • WordPress Alpine PhotoTile For Instagram 1.2.7.7 XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №313

23:51 28.12.2019

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Ads Manager, NewStatPress, Tribulant Slideshow Galleries, Download Manager, Gwolle Guestbook. Для котрих з’явилися експлоіти.

  • WordPress Simple Ads Manager 2.9.8.125 PHP Object Injection (деталі)
  • WordPress NewStatPress 1.2.4 Cross Site Scripting (деталі)
  • WordPress Tribulant Slideshow Galleries 1.6.3 Cross Site Scripting (деталі)
  • WordPress Download Manager 2.8.99 Cross Site Request Forgery (деталі)
  • WordPress Gwolle Guestbook 1.7.4 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №312

23:58 29.11.2019

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Adminer, File Manager, Global Content Blocks, Gwolle Guestbook та в самому WordPress. Для котрих з’явилися експлоіти.

  • WordPress 4.7.0 / 4.7.1 Insert PHP Code Injection (деталі)
  • WordPress Adminer 1.4.4 Interface Exposure (деталі)
  • WordPress File Manager 3.0.1 Cross Site Request Forgery (деталі)
  • WordPress Global Content Blocks 2.1.5 Cross Site Request Forgery (деталі)
  • WordPress Gwolle Guestbook 1.7.4 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №312

23:57 26.11.2019

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Analytics Stats Counter Statistics, Trust Form, WP-Filebase Download Manager, Mobile App Native, WP-SpamFree Anti-Spam. Для котрих з’явилися експлоіти.

  • WordPress Analytics Stats Counter Statistics 1.2.2.5 PHP Object Injection (деталі)
  • WordPress Trust Form 2.0 Cross Site Scripting (деталі)
  • WordPress WP-Filebase Download Manager 3.4.4 Cross Site Scripting (деталі)
  • WordPress Mobile App Native 3.0 Shell Upload (деталі)
  • WordPress WP-SpamFree Anti-Spam 2.1.1.4 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в ASUS RT-AC66U

23:57 01.11.2019

У листопаді, 01.11.2019, я знайшов Brute Force та Cross-Site Request Forgery уразливості в ASUS RT-AC66U.

Раніше я писав про уразливості в мережевих пристроях багатьох інших компаній. Зокрема про D-Link DGS-3000-10TC, Huawei EchoLife HG520s та Philips Envision Gateway.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.