Архів для категорії 'Уразливості'

Уразливості в плагінах для WordPress №328

23:54 31.03.2021

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Cool Flickr Slideshow, Contact Form 7 International SMS Integration, Training Membership, Amazon Affiliates Store, Responsive Image Gallery. Для котрих з’явилися експлоіти.

  • WordPress Cool Flickr Slideshow 1.0 Cross Site Scripting (деталі)
  • WordPress Contact Form 7 International SMS Integration 1.2 XSS (деталі)
  • WordPress Training Membership 1.0.8 Cross Site Scripting (деталі)
  • WordPress 2kb Amazon Affiliates Store 2.1.0 Cross Site Scripting (деталі)
  • WordPress Responsive Image Gallery 1.1.8 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №328

23:56 27.03.2021

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах FAdvertisement, Share-On-Diaspora, WpJobBoard, Ads Pro, Gym Management System. Для котрих з’явилися експлоіти.

  • WordPress FAdvertisement SQL Injection (деталі)
  • WordPress Share-On-Diaspora Cross Site Scripting (деталі)
  • WordPress WpJobBoard 4.5.1 Cross Site Scripting (деталі)
  • WordPress Ads Pro 3.4 Cross Site Scripting / SQL Injection (деталі)
  • WordPress Gym Management System Code Execution / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №327

23:53 25.03.2021

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Salutation Responsive, GamePlan Event And Gym Fitness і в плагінах Easy Modal, Podlove Podcast Publisher, PressForward. Для котрих з’явилися експлоіти.

  • Salutation Responsive 3.0.15 Cross Site Scripting (деталі)
  • WordPress GamePlan Event And Gym Fitness Theme 1.5.13.2 Cross Site Scripting (деталі)
  • WordPress Easy Modal 2.0.17 SQL Injection (деталі)
  • WordPress Podlove Podcast Publisher 2.5.3 SQL Injection (деталі)
  • WordPress PressForward 4.3.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №326

23:58 30.12.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Ultimate Affiliate Pro, FormCraft Form Builder, YouTube Embed Plus, Stop User Enumeration, Logosware Suite. Для котрих з’явилися експлоіти.

  • WordPress Ultimate Affiliate Pro 3.6 Cross Site Scripting (деталі)
  • WordPress FormCraft Form Builder 3.2.31 Cross Site Scripting (деталі)
  • WordPress YouTube Embed Plus 11.8.1 Cross Site Request Forgery (деталі)
  • WordPress Stop User Enumeration 1.3.8 User Enumeration (деталі)
  • WordPress Logosware Suite Uploader 1.1.6 File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливість в Xiaomi Mi Temperature & Humidity Monitor

23:50 29.12.2020

У вересні я купив пристрій та вже 30.09.2020 знайшов уразливість в Xiaomi Mi Temperature & Humidity Monitor. Це метеостанція з бездротовим доступом по Bluetooth.

Знову я купив пристрій для оцінки його безпеки, як це було з флеш-картою Transcend в 2014 році (бо до того і після того я купував собі Wi-Fi роутери, безпеку яких теж перевіряв, але більшість мережевих пристроїв я знаходив онлайн). Раніше я неодноразово писав про уразливості в Transcend Wi-Fi SD Card.

В метеостанції Xiaomi ненадійна аутентифікація. При наявності смартфону чи будь-якого пристрою з Bluetooth, стандартної програми Xiaomi для роботи зі smart пристроями та знаходячись в радіусі доступу можна під’єднатися до пристрою.

Наприклад, щоб побачити його статистику (про температуру та вологість в квартирі), а також можна буде керувати його smart функціями, як то під’єднаними до метеостанції побутовими пристроями. Щоб вони вмикалися чи вимикалися при заданих параметрах температури чи вологості. Хоча у BT менший радіус дії ніж в Wi-Fi, але все ж таки є ризик атаки. Зокрема коли метеостанція знаходиться в коридорі квартирі та нападник ходить по будинку, підносить свій смартфон до дверей квартир, щоб виявити BT пристрої, знаходить цей Xiaomi та хакає його.

Захистися можна шляхом вимкнення Bluetooth на метеостанції. Це також економить заряд батареї.

Уразливості в плагінах для WordPress №325

23:55 26.12.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Photo Gallery, Download Manager, FormCraft Basic, Ultimate Product Catalogue, Task Manager Pro. Для котрих з’явилися експлоіти.

  • WordPress Photo Gallery 1.3.34 / 1.3.42 Path Traversal (деталі)
  • WordPress Download Manager 2.9.46 / 2.9.51 Cross Site Scripting (деталі)
  • WordPress FormCraft Basic 1.0.5 SQL Injection (деталі)
  • WordPress Ultimate Product Catalogue 4.2.2 SQL Injection (деталі)
  • WordPress Task Manager Pro 1.31 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №324

22:55 23.12.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах No External Links, WP-Testimonials, Event List, Jobs, WP Job Manager. Для котрих з’явилися експлоіти.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №323

23:57 30.10.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах All In One Schema.org Rich Snippets, Huge-IT Video Gallery, AffiliateWP, Simple Slideshow Manager, Tribulant Newsletters. Для котрих з’явилися експлоіти.

  • WordPress All In One Schema.org Rich Snippets 1.4.1 XSS (деталі)
  • WordPress Huge-IT Video Gallery 2.0.4 SQL Injection (деталі)
  • WordPress AffiliateWP 2.0.8 Cross Site Scripting (деталі)
  • WordPress Simple Slideshow Manager 2.2 Cross Site Scripting (деталі)
  • WordPress Tribulant Newsletters 4.6.4.2 XSS / File Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №322

23:53 28.10.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах User Access Manager, EELV Newsletter, Newsletter Supsystic, Social-Stream та в самому WordPress. Для котрих з’явилися експлоіти.

  • WordPress User Access Manager 1.2.14 Cross Site Scripting (деталі)
  • WordPress EELV Newsletter 4.5 XSS / CSRF (деталі)
  • WordPress PHPMailer Host Header Command Injection (деталі)
  • WordPress Newsletter Supsystic 1.1.7 Cross Site Scripting (деталі)
  • WordPress Social-Stream 1.6.0 Twitter API Secret Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №321

23:51 30.09.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Facebook, Spider Event Calendar, WebDorado Gallery, Clean Login, Tracking Code Manager. Для котрих з’явилися експлоіти.

  • WordPress Facebook 1.0.13 SQL Injection (деталі)
  • WordPress Spider Event Calendar 1.5.49 SQL Injection (деталі)
  • WordPress WebDorado Gallery 1.3.29 SQL Injection (деталі)
  • WordPress Clean Login Cross Site Request Forgery (деталі)
  • WordPress Tracking Code Manager 1.11.1 XSS / DoS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.