Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах adivaha Travel, Forminator, Elementor, Masterstudy LMS. Для котрих з’явилися експлоіти.

• WordPress adivaha Travel Plugin 2.3 - SQL Injection (деталі)
• WordPress adivaha Travel Plugin 2.3 - Reflected XSS (деталі)
• WordPress Plugin Forminator 1.24.6 - Unauthenticated Remote Command Execution (деталі)
• Wordpress Plugin Elementor 3.5.5 - Iframe Injection (деталі)
• Wordpress Plugin Masterstudy LMS 3.0.17 - Unauthenticated Instructor Account Creation (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

На початку жовтня я знайшов Information Leakage уразливість на сайті connect.dtek-kem.com.ua. Відразу я вислав ці дані адмінам.

Але офіційна пошта в них виявилась не робоча - скринька переповнена. Вислав через FB і працівники подякували. Хоча досі не кажуть чи виправили.

Information Leakage (WASC-13):

Витік паролів користувачів сайту ДТЕК при реєстрації. Вони по смс вислали мій логін і пароль. Який я створив при реєстрації та надійно зберіг, щоб ніхто не дізнався.

Кожен силовик може перехопити смс, як СБУ та інші, а також злочинці, що мають прилади. І постійно слідкують за дзвінками і повідомленнями українців. Тому в смс не має бути постійних паролів, лише одноразові (другий фактор).

Раніше, 22.03.2013, я знайшов Information Leakage, Insufficient Authentication та Brute Force уразливості на сайті idea.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Information Leakage (WASC-13):

http://217.117.65.248/s3/bestpercent/

Витік інформації банку, що призначена не для всіх.

Insufficient Authentication (WASC-01):

Доступ до цього розділу на https://idea.privatbank.ua/s3/bestpercent/ заборонений, але доступний на http://217.117.65.248 - якщо зайти на сайт по IP.

А також це стосується інших ресурсів, які на idea.privatbank.ua вимагають аутентифікації.

Brute Force (WASC-11):

https://idea.privatbank.ua/sa/close/login
https://idea.privatbank.ua/sa/cpanel/ та ще одна

Відсутність захисту від підбору пароля адміна.

ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах AN_Gradebook, Ninja Forms, EventON Calendar і темі Medic. Для котрих з’явилися експлоіти.

• WordPress Theme Medic v1.0.0 - Weak Password Recovery Mechanism for Forgotten Password (деталі)
• WordPress Plugin AN_Gradebook 5.0.1 - SQL Injection (деталі)
• WordPress Plugin Ninja Forms 3.6.25 - Reflected XSS (деталі)
• Wordpress Plugin EventON Calendar 4.4 - Unauthenticated Event Access (деталі)
• Wordpress Plugin EventON Calendar 4.4 - Unauthenticated Post Access via IDOR (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я навів численні уразливості на bonus.privatbank.ua. Також у понад тридцяти публікаціях про безпеку e-commerce сайтів в Уанеті я писав про уразливості знайдені мною на сайтах онлайн магазинів і банків з 2006 року, а також про хакнуті та інфіковані українські e-commerce сайти. Ось ще приклад.

Раніше, 09.09.2024, я знайшов Insufficient Authentication уразливості на shafa.ua. Про що відразу написав власникам магазину.

Insufficient Authentication (WASC-01):

При реєстрації видає слабкий пароль. Якщо користувач сайту не змінить його, то пароль в п’ять символів швидко підберуть.

Також не працює зміна паролю на сайті, що може завадити користувачам замінити слабкий пароль. Зміг змінити його не через пошту, а лише через відправлення смс на телефон.

Адміни по хамські мені відповіли та проігнорували ці уразливості.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах AN_Gradebook, Ninja Forms, EventON Calendar і темі Medic. Для котрих з’явилися експлоіти.

• WordPress Theme Medic v1.0.0 - Weak Password Recovery Mechanism for Forgotten Password (деталі)
• WordPress Plugin AN_Gradebook 5.0.1 - SQL Injection (деталі)
• WordPress Plugin Ninja Forms 3.6.25 - Reflected XSS (деталі)
• Wordpress Plugin EventON Calendar 4.4 - Unauthenticated Event Access (деталі)
• Wordpress Plugin EventON Calendar 4.4 - Unauthenticated Post Access via IDOR (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

12.10.2013

У вересні, 24.09.2013, під час аудиту безпеки я знайшов Information Leakage уразливості на одному сайті ПриватБанка, що призводять до витоку персональних даних клієнтів. А у жовтні знайшов аналогічні витоки інформації на інших сайтах українських компаній, що надають подібні послуги. При тому, що на деяких подібних сайтах, якими я найбільше користуюся, витоків немає - тобто це залежить від їх відношення до персональних даних.

Перелік конкретних сайтів, що дозволяють витоки персональних даних, оприлюдню пізніше. Про дані уразливості я вже повідомив ПриватБанк і найближчим часом сповіщу адміністрацію інших сайтів.

Детальна інформація про уразливості з’явиться пізніше.

28.12.2024

Пройшло понад десять років і оприлюдню деякі деталі. ПБ закрив цей сайт і як завжди не заплатив мені за виявлені уразливості, про які повідомив їм у вересні 2013. Вони заявили, що то компанії мають не допускати витоків, і не виправили. За кілька років сайт тихо закрили зі всіма цими уразливостями.

Information Leakage (WASC-13):

Витоки відбувалися на сайті https://secure.privatbank.ua - в трьох постачальників послуг, IAA були у всіх. Послуги яких оплачувалися на цьому сайті. Деталі по всім уразливостям на цьому сайті напишу, коли дійде час до них. А це не одна сотня Information Leakage, Cross-Site Scripting та Insufficient Anti-automation уразливостей. За жодну з них мені не заплатили. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах NEX-Forms, Translatepress Multilinugal, Paid Memberships Pro, Backup Migration і темі Workreap. Для котрих з’явилися експлоіти.

• NEX-Forms WordPress plugin < 7.9.7 - Authenticated SQLi (деталі)
• Translatepress Multilinugal WordPress plugin < 2.3.3 - Authenticated SQL Injection (деталі)
• Paid Memberships Pro v2.9.8 (WordPress Plugin) - Unauthenticated SQL Injection (деталі)
• WordPress Plugin Backup Migration 1.2.8 - Unauthenticated Database Backup (деталі)
• WordPress Theme Workreap 2.2.2 - Unauthenticated Upload Leading to Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше, 21.03.2013, я знайшов Fingerprinting та Brute Force уразливості на сайті bonus.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Fingerprinting (WASC-45):

Витік даних про версію веб сервера на всіх сторінках bonus.privatbank.ua з помилками 403 та 404, яких може бути незліченна кількість. Виводилася інформація про nginx 1.2.2.

Brute Force (WASC-11):

http://217.117.65.248/sa/cpanel/ та в ще одному скрипті.

Відсутність захисту від підбору пароля адміна.

Також знайшов використання старих версій nginx та MySQL.

ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Contactpage Designer, Zerotolaunch, Cart66, Events Made Easy, Caldera Forms. Для котрих з’явилися експлоіти.

• WordPress wp-contactpage-designer 1.0 Database Disclosure (деталі)
• WordPress zerotolaunch 1.0 Database Disclosure (деталі)
• WordPress cart66 cart66-lite 1.0 Database Disclosure (деталі)
• WordPress Events Made Easy 2.0.68 Database Disclosure (деталі)
• WordPress Caldera Forms 1.7.4 Database Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.