Архів для категорії 'Уразливості'

Уразливості в Twitter

23:54 02.06.2017

Ще у грудні, 18.12.2013, я знайшов багато уразливостей на сайті https://twitter.com. Коли зареєструвався в Twitter. Вони досі не виправлені. Про що сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам соціальної мережі.

Уразливості в плагінах для WordPress №254

23:59 01.06.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Neuvoo-Jobroll, Ajax Load More, WP Fastest Cache, Users Ultra, Calls To Action. Для котрих з’явилися експлоіти.

  • WordPress Neuvoo-Jobroll 2.0 Cross Site Scripting (деталі)
  • WordPress Ajax Load More PHP Upload (деталі)
  • WP Fastest Cache 0.8.4.8 Blind SQL Injection (деталі)
  • WordPress Users Ultra 1.5.50 Unrestricted File Upload (деталі)
  • WordPress Calls To Action 2.4.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Добірка уразливостей

17:27 01.06.2017

В даній добірці уразливості в веб додатках:

  • SAP HANA XS Missing encryption in form-based authentication (деталі)
  • Onur Yilmaz, Concrete5 Security Advisory - Multiple XSS Vulnerabilities (деталі)
  • Web India Solutions CMS 2015 - SQL Injection Vulnerability (деталі)
  • Sidu 5.2 Admin XSS Vulnerability (деталі)
  • Kolibri WebServer 2.0 Vulnerable to RCE via Overly Long POST Request (деталі)

Нові уразливості в D-Link DGS-3200-16

23:55 31.05.2017

У травні, 02.05.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DGS-3200-16. Це друга частина дірок в цьому комутаторі.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DGS-3200-16 та D-Link DAP-1360.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Добірка уразливостей

17:28 30.05.2017

В даній добірці уразливості в веб додатках:

  • HTTP verb tampering issue in SAP_JTECHS (деталі)
  • Multiple vulnerabilities in Loxone Smart Home (part 2) (деталі)
  • phpMyAdmin 4.4.6 Man-In-the-Middle API Github (деталі)
  • Multiple critical vulnerabilities in WSO2 Identity Server (деталі)
  • SAP HANA IU5 SDK Authentication Bypass (деталі)

Уразливості в плагінах для WordPress №253

23:54 27.05.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Easy2Map, Support Ticket System, Font, Pie Register, Events Made Easy. Для котрих з’явилися експлоіти.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в плагінах для WordPress №252

22:49 25.05.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах mTheme-Unus, U-Design та плагінах Payment Form For PayPal Pro, ResAds, Easy2Map. Для котрих з’явилися експлоіти.

  • WordPress mTheme-Unus Local File Inclusion (деталі)
  • WordPress U-Design Theme 2.7.9 Cross Site Scripting (деталі)
  • WordPress Payment Form For PayPal Pro 1.0.1 XSS (деталі)
  • WordPress ResAds 1.0.1 Cross Site Scripting (деталі)
  • WordPress Easy2Map 1.2.9 Local File Inclusion / Directory Traversal (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Добірка уразливостей

17:21 25.05.2017

В даній добірці уразливості в веб додатках:

  • Multiple Cross Site Scripting Vulnerabilities in SAP HANA XS Administration Tool (деталі)
  • Multiple Cross-Site Scripting (XSS) in FreePBX (деталі)
  • Avsarsoft Matbaa Script - Multiple Vulnerabilities (деталі)
  • Encaps PHP/Flash Gallery 2.3.22s Database Puffing Up Exploit (деталі)
  • Hard-coded Username in SAP FI Manager Self-Service (деталі)

Добірка уразливостей

16:14 23.05.2017

В даній добірці уразливості в веб додатках:

  • SAP HANA Web-based Development Workbench Code Injection (деталі)
  • django-markupfield security update (деталі)
  • GoAutoDial 3.3 multiple vulnerabilities (деталі)
  • Reflected XSS Vulnerability In Manage Engine Firewall Analyzer (деталі)
  • Missing authorization check in function modules of SAP BW-SYS-DB-DB4 (деталі)

Нова уразливість на ukr.net

23:52 22.05.2017

У квітні, 14.04.2017, я знайшов Cross-Site Scripting уразливість на сайті http://ukr.net. Що дозволяє отримати доступ до пошти користувача. Про що сповіщу адміністрацію сайта.

Раніше в 2006-2009 роки я багато разів виявляв уразливості на різних сайтах ukr.net. Про що повідомляв в компанію, але вони завжди ігнорували.

Детальна інформація про уразливості з’явиться пізніше.