Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах GD bbPress Attachments, WP-SwimTeam, Floating Social Bar, PowerPlay Gallery. Для котрих з’явилися експлоіти.

• WordPress GD bbPress Attachments 2.1 Local File Inclusion (деталі)
• WordPress GD bbPress Attachments 2.1 Cross Site Scripting (деталі)
• WordPress WP-SwimTeam 1.44.10777 Arbitrary File Download (деталі)
• WordPress Floating Social Bar 1.1.5 Cross Site Scripting (деталі)
• WordPress WP-PowerPlayGallery 3.3 File Upload / SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• DoS vulnerability in PolarSSL (деталі)
• Vulnerabilities in python-django (деталі)
• BMC Footprints Service Core 11.5 - Multiple Cross Site Scripting Vulnerabilities (XSS) (деталі)
• Radexscript CMS 2.2.0 - SQL Injection vulnerability (деталі)
• Multiple vulnerabilities in Citrix NetScaler Application Delivery Controller and Citrix NetScaler Gateway (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах S3Bubble Cloud Video With Adverts / Analytics, WP E-Commerce Shop Styling, MDC Youtube Downloader, Easy2Map Photos, CP Contact Form With Paypal. Для котрих з’явилися експлоіти.

• WordPress S3Bubble Cloud Video With Adverts / Analytics Arbitrary File Download (деталі)
• WordPress WP-Ecommerce-Shop-Styling 2.5 File Download (деталі)
• WordPress MDC-Youtube-Downloader 2.1.0 File Disclosure (деталі)
• WordPress Easy2Map-Photos 1.09 SQL Injection (деталі)
• WordPress CP Contact Form With Paypal 1.1.5 CSRF / XSS / SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Revslider, WP-Instance-Rename, easy2map, StageShow, ACF Frontend Display. Для котрих з’явилися експлоіти.

• WordPress Revslider Arbitrary File Upload / Download / XSS (деталі)
• WordPress WP-Instance-Rename 1.0 File Download (деталі)
• WordPress easy2map 1.24 SQL Injection (деталі)
• WordPress StageShow 5.0.8 Open Redirect (деталі)
• WordPress ACF Frontend Display Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP Data Protector, Remote Execution of Arbitrary Code (деталі)
• articleFR CMS 3.0.5 - XSS vulnerability (деталі)
• Fork CMS - SQL Injection in Version 3.8.5 (деталі)
• Vulnerabilities in bugzilla (деталі)
• Remote Code Execution via CSRF in OpenVPN Access Server “Desktop Client” (деталі)

В даній добірці уразливості в веб додатках:

• EMC RecoverPoint Appliance Security Control Bypass Vulnerability (деталі)
• Landesk Management Suite XSS (Cross-Site Scripting) Security Vulnerability (деталі)
• articleFR CMS 3.0.5 - Arbitrary File Upload (деталі)
• articleFR CMS 3.0.5 - SQL injection vulnerability (деталі)
• Barracuda Networks Message Archiver 650 - Persistent Input Validation Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Cross Site Scripting in Sophos Antivirus Configuration Console (Linux) (деталі)
• FancyFon FAMOC - Cross-Site Scripting (деталі)
• FancyFon FAMOC - SQL Injection (деталі)
• iodine: authentication bypass by client (деталі)
• fail2ban security update (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Front-end Editor, Revslider, Google Analyticator, Nextend Facebook Connect, Nextend Twitter Connect. Для котрих з’явилися експлоіти.

• Wordpress Front-end Editor File Upload (деталі)
• WordPress Revslider 4.2.2 XSS / Information Disclosure (деталі)
• WordPress Google Analyticator 6.4.9.3 CSRF (деталі)
• WordPress Nextend Facebook Connect 1.5.4 Cross Site Scripting (деталі)
• WordPress Nextend Twitter Connect 1.5.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Proxmox VE < 3.2 user enumeration vulnerability (деталі)
• Two XSS Vulnerabilities in SupportCenter Plus (деталі)
• FancyFon FAMOC - Use of a One-Way Hash without a Salt (деталі)
• FancyFon FAMOC - Session Fixation (деталі)
• HP Software Executive Scorecard, Remote Execution of Code, Directory Traversal (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах History Collection, Paypal Currency Converter Basic, Yoast, Users To CSV і темі NativeChurch. Для котрих з’явилися експлоіти.

• WordPress History Collection 1.1.1 Arbitrary File Download (деталі)
• WordPress Paypal Currency Converter Basic For Woocommerce 1.3 File Read (деталі)
• WordPress Yoast 2.1.1 Cross Site Scripting (деталі)
• WordPress NativeChurch Theme 1.0 / 1.5 Arbitrary File Download (деталі)
• WordPress Users To CSV 1.4.5 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.