Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP IceWall MCRP and HP IceWall SSO, Remote Denial of Service (DoS) (деталі)
• sympa security update (деталі)
• XSS vulnerability in PrestaShop (деталі)
• Kiwix Cross-Site Scripting Vulnerability (деталі)
• JavaMail SMTP Header Injection via method setSubject (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Contact Form To Email, Booking Calendar Contact Form, Media File Manager Advanced, BackupBuddy, Backup Plus. Для котрих з’явилися експлоіти.

• WordPress Contact Form To Email Plugin CSRF / XSS (деталі)
• WordPress Booking Calendar Contact Form 1.0.2 XSS / SQL Injection (деталі)
• WordPress Media File Manager Advanced 1.1.5 XSS / SQL Injection (деталі)
• WordPress BackupBuddy Backup Disclosure (деталі)
• WordPress Backup Plus Backup Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Poor Quality Implementation of Diffie-Hellman Key Exchange in Citrix Netscaler (деталі)
• Alienvault OSSIM/USM Command Execution Vulnerability (деталі)
• Pandora FMS v5.1 SP1 - Persistent SNMP Editor Vulnerability (деталі)
• CatBot v0.4.2 (PHP) - SQL Injection Vulnerability (деталі)
• HP Operations Manager i, Execution of Arbitrary Code (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Freshmail, Ad Buttons, RevSlider, Yet Another Related Posts, Roomcloud. Для котрих з’явилися експлоіти.

• WordPress Freshmail 1.5.8 SQL Injection (деталі)
• WordPress Ad Buttons 2.3.1 CSRF / Cross Site Scripting (деталі)
• WordPress RevSlider 3.0.95 File Upload / Execute (деталі)
• WordPress Yet Another Related Posts 4.2.4 CSRF / XSS / Code Execution (деталі)
• WordPress Roomcloud 1.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Lack of SSL Certificate Validation in Citrix Netscaler (деталі)
• Privilege Escalation & XSS & Missing Authentication in Ansible Tower (деталі)
• Sitefinity Enterprise v7.2.53 - Persistent Vulnerability (деталі)
• Django vulnerabilities (деталі)
• D-Link DIR-652/DIR-835/DIR-855L/DGL-5500/DHP-1565 - Clear Text Password/XSS/Information Disclosure (деталі)

В даній добірці уразливості в веб додатках:

• Arbitrary Code Execution in Exim 4.82 (деталі)
• Blitz CMS Community - SQL Injection Web Vulnerability (деталі)
• otrs2 security update (деталі)
• Cross-site Scripting in Tapatalk Plugin for WoltLab Burning Board 4.0 (деталі)
• EMC Documentum D2 Arbitrary DQL Query Execution Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Symposium, Ultimate Product Catalogue, ClickBank Ads, Ultimate Profile Builder і в темі Twenty Fifteen. Для котрих з’явилися експлоіти.

• WordPress WP Symposium 15.1 SQL Injection (деталі)
• WordPress Twenty Fifteen 4.2.1 Cross Site Scripting (деталі)
• WordPress Ultimate Product Catalogue 3.1.2 SQL Injection (деталі)
• WordPress ClickBank Ads 1.7 CSRF / Cross Site Scripting (деталі)
• WordPress Ultimate Profile Builder 2.3.3 CSRF / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Root Backdoor & Unauthenticated access to voice recordings in NICE Recording eXpress (деталі)
• Remote code execution in ServiceDesk, Asset Explorer, Support Center and IT360 (деталі)
• mantis security update (деталі)
• Vulnerabilities in MediaWiki (деталі)
• RSA Archer GRC Multiple Cross-Site Scripting Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах eShop, Akismet, Embed-Articles, Ad Inserter і XSS уразливість в WordPress. Для котрих з’явилися експлоіти.

• WordPress 4.2.1 XSS / Code Execution (деталі)
• WordPress eShop 6.3.11 Code Execution (деталі)
• WordPress Akismet 3.1.1 Cross Site Scripting (деталі)
• WordPress Embed-Articles 7.0.3 CSRF / XSS (деталі)
• WordPress Ad Inserter 1.5.2 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• EMC Documentum Foundation Services (DFS) Content Access Vulnerability (деталі)
• Osclass <= 3.4.2 (contact.php) Unrestricted File Upload Vulnerability (деталі)
• Mantis Bug Tracker <= 1.2.17 (ImportXml.php) PHP Code Injection Vulnerability (деталі)
• Symantec Web Gateway <= 5.2.1 (restore.php) OS Command Injection Vulnerability (деталі)
• Unauthenticated Credential And Configuration Retrieval In Broadcom Ltd PIPA C211 (деталі)