Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Work The Flow, Creative Contact Form, N-Media Website Contact Form, Community Events, NEX-Forms. Для котрих з’явилися експлоіти.

• WordPress Work The Flow Upload (деталі)
• WordPress Creative Contact Form Upload (деталі)
• WordPress N-Media Website Contact Form Upload (деталі)
• WordPress Community Events 1.3.5 SQL Injection (деталі)
• WordPress NEX-Forms 3.0 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

25.02.2011

Ще в жовтні, 04.10.2006, я знайшов нову Cross-Site Scripting уразливість на http://www.imena.ua - сайті мого домен провайдера. І дана уразливість досі не виправлена. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.imena.ua.

Зазначу, що цей дірявий сайт має логотипи Verified by VISA та MasterCard SecureCode. Про діряві сайти з даними логотипами я вже писав раніше.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.04.2016

XSS:

http://www.imena.ua/site/payments/epay?scode=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дана уразливість вже виправлена.

В даній добірці уразливості в веб додатках:

• OpenStack Glance vulnerability (деталі)
• TWiki Security Advisory - XSS Vulnerability (деталі)
• Apache Struts 2.3.20 GA release available with security fix (деталі)
• SysAid Server Arbitrary File Disclosure (деталі)
• OpenStack Neutron vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах MiwoFTP, Ajax Store Locator, WP-Mon, Citizen Space, Content Slide. Для котрих з’явилися експлоіти.

• WordPress MiwoFTP 1.0.5 CSRF Command Execution (деталі)
• WordPress Ajax Store Locator 1.2 SQL Injection (деталі)
• WordPress WP-Mon Arbitrary File Download (деталі)
• WordPress Citizen Space 1.1 Cross Site Scripting (деталі)
• WordPress Content Slide 1.4.2 CSRF / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У січні, 29.01.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DIR-300. Це Wireless Router і AP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DIR-300 та D-Link DVG-5402SP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

В даній добірці уразливості в веб додатках:

• OpenStack Quantum vulnerability (деталі)
• Jease CMS v2.11 - Persistent Cross-Site Scripting Vulnerability (деталі)
• E-Journal CMS (ID) - Multiple Web Vulnerabilities (деталі)
• TWiki Security Advisory - XSS Vulnerability (деталі)
• OpenStack Cinder vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Video Gallery, MiwoFTP, WP Statistics та про програму WordPress Brute Forcer (для підбору паролей через Brute Force уразливість). Для котрих з’явилися експлоіти.

• WordPress Video Gallery 2.8 SQL Injection (деталі)
• WordPress Brute Forcer 2.0 (деталі)
• WordPress MiwoFTP 1.0.5 Cross Site Request Forgery (деталі)
• WordPress MiwoFTP 1.0.5 CSRF / Cross Site Scripting (деталі)
• WordPress WP Statistics 9.1.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• MAAS vulnerabilities (деталі)
• Revive Adserver 3.0.6 and 3.1.0 fix multiple vulnerabilities (деталі)
• Cross-Site Scripting (XSS) in Revive Adserver (деталі)
• Morfy CMS v1.05 - Command Execution Vulnerability (деталі)
• DoS vulnerabilities in Zarafa (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Work The Flow, Windows Desktop And iPhone Photo Uploader, Duplicator, Fusion Engage, N-Media Website Contact Form. Для котрих з’явилися експлоіти.

• WordPress Work The Flow 2.5.2 Shell Upload (деталі)
• WordPress Windows Desktop And iPhone Photo Uploader File Upload (деталі)
• WordPress Duplicator 0.5.14 Cross Site Request Forgery / SQL Injection (деталі)
• WordPress Fusion Engage Local File Disclosure (деталі)
• WordPress N-Media Website Contact Form 1.3.4 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Vulnerabilities in Open-Xchange (деталі)
• Elefant CMS v1.3.9 - Persistent Name Update Vulnerability (деталі)
• Fuzzylime v3.03b CMS - Cross Site Scripting Vulnerability (деталі)
• Konakart v7.3.0.1 CMS - Cross Site Scripting Web Vulnerability (деталі)
• HP IceWall Identity Manager and HP IceWall SSO Password Reset Option Running Apache Commons FileUpload, Remote Denial of Service (DoS) (деталі)