Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP Data Protector, Remote Execution of Arbitrary Code (деталі)
• articleFR CMS 3.0.5 - XSS vulnerability (деталі)
• Fork CMS - SQL Injection in Version 3.8.5 (деталі)
• Vulnerabilities in bugzilla (деталі)
• Remote Code Execution via CSRF in OpenVPN Access Server “Desktop Client” (деталі)

В даній добірці уразливості в веб додатках:

• EMC RecoverPoint Appliance Security Control Bypass Vulnerability (деталі)
• Landesk Management Suite XSS (Cross-Site Scripting) Security Vulnerability (деталі)
• articleFR CMS 3.0.5 - Arbitrary File Upload (деталі)
• articleFR CMS 3.0.5 - SQL injection vulnerability (деталі)
• Barracuda Networks Message Archiver 650 - Persistent Input Validation Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Cross Site Scripting in Sophos Antivirus Configuration Console (Linux) (деталі)
• FancyFon FAMOC - Cross-Site Scripting (деталі)
• FancyFon FAMOC - SQL Injection (деталі)
• iodine: authentication bypass by client (деталі)
• fail2ban security update (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Front-end Editor, Revslider, Google Analyticator, Nextend Facebook Connect, Nextend Twitter Connect. Для котрих з’явилися експлоіти.

• Wordpress Front-end Editor File Upload (деталі)
• WordPress Revslider 4.2.2 XSS / Information Disclosure (деталі)
• WordPress Google Analyticator 6.4.9.3 CSRF (деталі)
• WordPress Nextend Facebook Connect 1.5.4 Cross Site Scripting (деталі)
• WordPress Nextend Twitter Connect 1.5.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Proxmox VE < 3.2 user enumeration vulnerability (деталі)
• Two XSS Vulnerabilities in SupportCenter Plus (деталі)
• FancyFon FAMOC - Use of a One-Way Hash without a Salt (деталі)
• FancyFon FAMOC - Session Fixation (деталі)
• HP Software Executive Scorecard, Remote Execution of Code, Directory Traversal (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах History Collection, Paypal Currency Converter Basic, Yoast, Users To CSV і темі NativeChurch. Для котрих з’явилися експлоіти.

• WordPress History Collection 1.1.1 Arbitrary File Download (деталі)
• WordPress Paypal Currency Converter Basic For Woocommerce 1.3 File Read (деталі)
• WordPress Yoast 2.1.1 Cross Site Scripting (деталі)
• WordPress NativeChurch Theme 1.0 / 1.5 Arbitrary File Download (деталі)
• WordPress Users To CSV 1.4.5 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У січні, 29.01.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DIR-100. Це четверта частина дірок в router DIR-100.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DIR-100 та D-Link DIR-300.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

В даній добірці уразливості в веб додатках:

• Multiple critical vulnerabilities in CoSoSys Endpoint Protector 4 (деталі)
• Multiple vulnerabilities in FailOverServlet (OpManager, AppManager, IT360) (деталі)
• Blubrry PowerPress Security Advisory - XSS Vulnerability (деталі)
• Multiple vulnerabilities in MantisBT (деталі)
• Bilyoner mobile apps prone to various SSL/TLS attacks (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах zM Ajax Login Register, Users Ultra, Encrypted Contact Form, Aviary Image Editor, SE HTML5 Album Audio Player. Для котрих з’явилися експлоіти.

• WordPress zM Ajax Login Register 1.0.9 Local File Inclusion (деталі)
• WordPress Users Ultra 1.5.15 SQL Injection (деталі)
• WordPress Encrypted Contact Form 1.0.4 CSRF / XSS (деталі)
• WordPress Aviary Image Editor Add On For Gravity Forms 3.0 Beta Shell Upload (деталі)
• WordPress SE HTML5 Album Audio Player 1.1.0 Directory Traversal (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Multiple Hard-coded Usernames in SAP Components (деталі)
• Banner Effect Header Security Advisory - XSS Vulnerability (деталі)
• Sefrengo CMS v1.6.1 - Multiple SQL Injection Vulnerabilities (деталі)
• Microweber 0.95 - SQL Injection Vulnerability (деталі)
• Information Leakage in Cloudera Manager (деталі)