Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Symposium, Ultimate Product Catalogue, ClickBank Ads, Ultimate Profile Builder і в темі Twenty Fifteen. Для котрих з’явилися експлоіти.

• WordPress WP Symposium 15.1 SQL Injection (деталі)
• WordPress Twenty Fifteen 4.2.1 Cross Site Scripting (деталі)
• WordPress Ultimate Product Catalogue 3.1.2 SQL Injection (деталі)
• WordPress ClickBank Ads 1.7 CSRF / Cross Site Scripting (деталі)
• WordPress Ultimate Profile Builder 2.3.3 CSRF / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Root Backdoor & Unauthenticated access to voice recordings in NICE Recording eXpress (деталі)
• Remote code execution in ServiceDesk, Asset Explorer, Support Center and IT360 (деталі)
• mantis security update (деталі)
• Vulnerabilities in MediaWiki (деталі)
• RSA Archer GRC Multiple Cross-Site Scripting Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах eShop, Akismet, Embed-Articles, Ad Inserter і XSS уразливість в WordPress. Для котрих з’явилися експлоіти.

• WordPress 4.2.1 XSS / Code Execution (деталі)
• WordPress eShop 6.3.11 Code Execution (деталі)
• WordPress Akismet 3.1.1 Cross Site Scripting (деталі)
• WordPress Embed-Articles 7.0.3 CSRF / XSS (деталі)
• WordPress Ad Inserter 1.5.2 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• EMC Documentum Foundation Services (DFS) Content Access Vulnerability (деталі)
• Osclass <= 3.4.2 (contact.php) Unrestricted File Upload Vulnerability (деталі)
• Mantis Bug Tracker <= 1.2.17 (ImportXml.php) PHP Code Injection Vulnerability (деталі)
• Symantec Web Gateway <= 5.2.1 (restore.php) OS Command Injection Vulnerability (деталі)
• Unauthenticated Credential And Configuration Retrieval In Broadcom Ltd PIPA C211 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WooCommerce Amazon Affiliates, Exquisite Ultimate Newspaper, TheCartPress, Ultimate Product Catalogue і XSS уразливість в WordPress. Для котрих з’явилися експлоіти.

• WordPress WooCommerce Amazon Affiliates 7.0 Shell Upload / File Disclosure (деталі)
• WordPress 4.2 Cross Site Scripting (деталі)
• WordPress Exquisite Ultimate Newspaper 1.3.3 Cross Site Scripting (деталі)
• WordPress TheCartPress 1.3.9 XSS / Local File Inclusion (деталі)
• WordPress Ultimate Product Catalogue 3.1.2 XSS / CSRF / File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP H-series Fibre Channel Switches, Remote Disclosure of Information (деталі)
• 0-day administrator account creation in Desktop Central (деталі)
• Osclass <= 3.4.2 (Search::setJsonAlert) SQL Injection Vulnerability (деталі)
• Osclass <= 3.4.2 (ajax.php) Local File Inclusion Vulnerability (деталі)
• RSA NetWitness and RSA Security Analytics Authentication Bypass Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Add Link To Facebook, Premium SEO Pack, InBoundio Marketing, WPshop eCommerce і темі QAEngine. Для котрих з’явилися експлоіти.

• WordPress Add Link To Facebook 1.215 Cross Site Scripting (деталі)
• WordPress Premium SEO Pack 1.8.0 Shell Upload / File Disclosure (деталі)
• WordPress QAEngine Theme 1.4 Privilege Escalation (деталі)
• WordPress InBoundio Marketing 2.0 Shell Upload (деталі)
• WordPress WPshop eCommerce 1.3.9.5 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross-Site Scripting (XSS) (деталі)
• Stored XSS Vulnerability in CMS Serendipity v.2.0-rc1 (деталі)
• PHPLIST v3.0.6 & v3.0.10 - SQL Injection Vulnerability (деталі)
• Lazarus Guestbook v1.22 - Multiple Web Vulnerabilities (деталі)
• Multiple critical vulnerabilities in AVG Remote Administration (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Reflex Gallery, SlideShow Gallery, NEX-Forms, Yoast Google Analytics, Tune Library. Для котрих з’явилися експлоіти.

• WordPress Reflex Gallery Upload (деталі)
• WordPress SlideShow Gallery Authenticated File Upload (деталі)
• WordPress NEX-Forms 3.0 SQL Injection (деталі)
• WordPress Yoast Google Analytics Cross Site Scripting (деталі)
• WordPress Tune Library 1.5.4 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• OpenStack Horizon vulnerability (деталі)
• mediawiki security update (деталі)
• Reflecting XSS Vulnerability in CMS Contenido 4.9.x-4.9.5 (деталі)
• Pimcore v3.0 & v2.3.0 CMS - SQL Injection Vulnerability (деталі)
• OpenStack Swift vulnerability (деталі)