Websecurity - Веб безпека

У січні, 29.01.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DIR-300. Це Wireless Router і AP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DIR-300 та D-Link DVG-5402SP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

В даній добірці уразливості в веб додатках:

• OpenStack Quantum vulnerability (деталі)
• Jease CMS v2.11 - Persistent Cross-Site Scripting Vulnerability (деталі)
• E-Journal CMS (ID) - Multiple Web Vulnerabilities (деталі)
• TWiki Security Advisory - XSS Vulnerability (деталі)
• OpenStack Cinder vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Video Gallery, MiwoFTP, WP Statistics та про програму WordPress Brute Forcer (для підбору паролей через Brute Force уразливість). Для котрих з’явилися експлоіти.

• WordPress Video Gallery 2.8 SQL Injection (деталі)
• WordPress Brute Forcer 2.0 (деталі)
• WordPress MiwoFTP 1.0.5 Cross Site Request Forgery (деталі)
• WordPress MiwoFTP 1.0.5 CSRF / Cross Site Scripting (деталі)
• WordPress WP Statistics 9.1.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• MAAS vulnerabilities (деталі)
• Revive Adserver 3.0.6 and 3.1.0 fix multiple vulnerabilities (деталі)
• Cross-Site Scripting (XSS) in Revive Adserver (деталі)
• Morfy CMS v1.05 - Command Execution Vulnerability (деталі)
• DoS vulnerabilities in Zarafa (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Work The Flow, Windows Desktop And iPhone Photo Uploader, Duplicator, Fusion Engage, N-Media Website Contact Form. Для котрих з’явилися експлоіти.

• WordPress Work The Flow 2.5.2 Shell Upload (деталі)
• WordPress Windows Desktop And iPhone Photo Uploader File Upload (деталі)
• WordPress Duplicator 0.5.14 Cross Site Request Forgery / SQL Injection (деталі)
• WordPress Fusion Engage Local File Disclosure (деталі)
• WordPress N-Media Website Contact Form 1.3.4 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Vulnerabilities in Open-Xchange (деталі)
• Elefant CMS v1.3.9 - Persistent Name Update Vulnerability (деталі)
• Fuzzylime v3.03b CMS - Cross Site Scripting Vulnerability (деталі)
• Konakart v7.3.0.1 CMS - Cross Site Scripting Web Vulnerability (деталі)
• HP IceWall Identity Manager and HP IceWall SSO Password Reset Option Running Apache Commons FileUpload, Remote Denial of Service (DoS) (деталі)

У березні, 25.03.2016, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DVG-5402SP VoIP Router. Це четверта частина дірок в DVG-5402SP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DIR-300 та D-Link DVG-5402SP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах VideoWhisper Video Presentation, PHP Event Calendar, Simple Ads Manager, All In One WP Security And Firewall, Shareaholic. Для котрих з’явилися експлоіти.

• WordPress VideoWhisper Video Presentation 3.31.17 Shell Upload (деталі)
• WordPress PHP Event Calendar 1.5 Arbitrary File Upload (деталі)
• WordPress Simple Ads Manager 2.5.94 File Upload (деталі)
• WordPress All In One WP Security And Firewall 3.9.0 SQL Injection (деталі)
• WordPress Shareaholic 7.6.0.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У січні, 01.01.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DVG-5402SP VoIP Router. Це третя частина дірок в DVG-5402SP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DVG-5402SP та D-Link DIR-300.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

В даній добірці уразливості в веб додатках:

• RSA BSAFE Micro Edition Suite Certificate Chain Processing Vulnerability (деталі)
• Remote Code Execution (RCE) in Intrexx Professional (деталі)
• Reflected Cross-Site Scripting (XSS) in Intrexx Professional (деталі)
• Persistent XSS Vulnerability in CMS Papoo Light v6.0.0 Rev. 4701 (деталі)
• Multiple vulnerabilities in Plex Media Server (деталі)