Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Localize My Post, FV Flowplayer, WP Insert, Breadcrumb NavXT, WebARX Website Firewall. Для котрих з’явилися експлоіти.

• WordPress Localize My Post 1.0 Local File Inclusion (деталі)
• WordPress FV Flowplayer 7.2.0.727 Cross Site Scripting (деталі)
• WordPress WP Insert 2.4.2 Arbitrary File Upload (деталі)
• WordPress Breadcrumb NavXT 6.1.0 Username Disclosure (деталі)
• WordPress WebARX Website Firewall 4.9.8 XSS / Bypass (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Jibu Pro, Ajax BootModal Login, Survey And Poll, Arigato Autoresponder And Newsletter, Wechat Broadcast. Для котрих з’явилися експлоіти.

• WordPress Jibu Pro 1.7 Cross Site Scripting (деталі)
• WordPress Ajax BootModal Login 1.4.3 CAPTCHA Issue (деталі)
• WordPress Survey And Poll 1.5.7.3 SQL Injection (деталі)
• WordPress Arigato Autoresponder And Newsletter 2.5 SQL Injection / XSS (деталі)
• WordPress Wechat Broadcast 1.2.0 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

03.03.2018

У вересні, 22.09.2017, я знайшов Brute Force та Cross-Site Request Forgery на ukrgasbank.com - сайті Укргазбанку. Про що найближчим часом повідомлю адміністрації.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на limit.privatbank.ua та uniordreams.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.10.2023

Brute Force (WASC-11):

https://ukrgasbank.com/admin/

Відсутність захисту від підбору пароля адміна.

Cross-Site Request Forgery (WASC-21):

Відсутність захисту від автоматизованих атак в цій самій формі логіну дозволяє провести CSRF атаку для віддаленого входу.

Дані уразливості за всі ці роки не виправлені. Тоді ж, 22.09.2017, я знайшов численні уразливості на онлайн-банкінгу Укргазбанку, про які повідомив їм разом з цими дірками на головному сайті - приватно, без анонсів на своєму сайті. Жодної відповіді на всі мої листи від банку не отримав.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Chained Quiz, Tagregator, Gift Voucher, Plainview Activity Monitor, Quizlord. Для котрих з’явилися експлоіти.

• WordPress Chained Quiz 1.0.8 SQL Injection (деталі)
• WordPress Tagregator 0.6 Cross Site Scripting (деталі)
• WordPress Gift Voucher 1.0.5 SQL Injection (деталі)
• WordPress Plainview Activity Monitor 20161228 Command Injection (деталі)
• WordPress Quizlord 2.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Gwolle Guestbook, Responsive Thumbnail Slider, Export Users To CSV, Ninja Forms і темах Dreamsmiths. Для котрих з’явилися експлоіти.

• WordPress Gwolle Guestbook 2.5.3 Cross Site Scripting (деталі)
• WordPress Responsive Thumbnail Slider Arbitrary File Upload (деталі)
• WordPress Export Users To CSV 1.1.1 CSV Injection (деталі)
• WordPress Dreamsmiths Themes 0.0.1 Arbitrary File Download (деталі)
• WordPress Ninja Forms 3.3.13 CSV Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Job Manager, All In One Favicon, LimoLabs, Snazzy Maps, Strong Testimonials. Для котрих з’явилися експлоіти.

• WordPress Job Manager 4.1.0 Cross Site Scripting (деталі)
• WordPress All In One Favicon 4.6 Cross Site Scripting (деталі)
• WordPress LimoLabs 1.0.0 Remote Password Disclosure (деталі)
• WordPress Snazzy Maps 1.1.3 Cross Site Scripting (деталі)
• WordPress Strong Testimonials 2.31.4 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше, 18.03.2013, я знайшов Content Spoofing та Cross-Site Scripting уразливості на сайті 217.117.65.248. В той час я вислав ці уразливості банку.

Content Spoofing (WASC-12):

Підробка вмісту через довільні адреси в параметрах file та image.

http://217.117.65.248/static/library/jwplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://217.117.65.248/static/library/jwplayer/player.swf?file=1.flv&image=1.jpg

Content Spoofing (WASC-12):

Підробка вмісту через параметр config із довільною адресою файлу.

http://217.117.65.248/static/library/jwplayer/player.swf?config=1.xml

У файлі 1.xml можна вказати шляхи до flv та jpg.

Content Spoofing (WASC-12):

Підробка вмісту через параметр playlistfile із довільною адресою файлу.

http://217.117.65.248/static/library/jwplayer/player.swf?playlistfile=1.rss

XSS (WASC-08):

http://217.117.65.248/static/library/jwplayer/player.swf?playerready=alert(document.cookie)

Також флешка player.swf мала JavaScript калбеки, що дозволяли провести XSS атаки. Всього таких функцій 19, де можна було провести XSS атаку.

ПриватБанк тоді прийняв ці уразливості в свою програму, не оплатив і через багато років приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Redirection, Comments Import And Export, iThemes Security, Advanced Order Export For WooCommerce та в самому WordPress. Для котрих з’явилися експлоіти.

• WordPress Redirection 2.7.1 Deserialization Code Execution (деталі)
• WordPress Comments Import And Export CSV Injection (деталі)
• WordPress iThemes Security SQL Injection (деталі)
• WordPress Advanced Order Export For WooCommerce CSV Injection (деталі)
• WordPress 4.9.6 Arbitrary File Deletion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Contact Form Maker, Ultimate Form Builder, WP Google Map, Redirection, Tooltipy. Для котрих з’явилися експлоіти.

• WordPress Contact Form Maker 1.12.20 XSS / CSRF / SQL Injection (деталі)
• WordPress Ultimate Form Builder Lite 1.3.7 XSS / SQL Injection (деталі)
• WordPress WP Google Map 4.0.4 SQL Injection (деталі)
• WordPress Redirection 2.7.3 Remote File Inclusion (деталі)
• WordPress Tooltipy 5.0 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Booking Calendar, Events Calendar, Form Maker, Pie Register, Tooltipy. Для котрих з’явилися експлоіти.

• WordPress Booking Calendar 3.0.0 Cross Site Scripting / SQL Injection (деталі)
• WordPress Events Calendar 1.0 SQL Injection (деталі)
• WordPress Form Maker 1.12.24 XSS / CSRF / SQL Injection (деталі)
• WordPress Pie Register Blind SQL Injection (деталі)
• WordPress Tooltipy 5.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.