Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• XML External Entity vulnerability in libsvg (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• Python CGIHTTPServer File Disclosure and Potential Code Execution (деталі)
• Endeca Latitude Cross-Site Scripting (деталі)
• ASUS AiCloud Enabled Routers 12 Models - Authentication bypass and Sensitive file/path disclosure (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в WordPress 3.9.2 та в плагінах SP Client Document Manager, WP-DB-Backup, wpDataTables. Для котрих з’явилися експлоіти.

• WordPress 3.9.2 Cross Site Scripting (деталі)
• WordPress SP Client Document Manager 2.4.1 SQL Injection (деталі)
• WordPress WP-DB-Backup 2.2.4 Backup Theft (деталі)
• WordPress wpDataTables 1.5.3 Shell Upload (деталі)
• WordPress wpDataTables 1.5.3 SQL Injection (деталі)

Експлоіт для WP-DB-Backup використовує уразливість, що я знайшов в 2007 році й опублікував в День багів в WordPress 2.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Bulletproof-Security, XCloner, Another WordPress Classifieds, SupportEzzy Ticket System, CM Download Manager. Для котрих з’явилися експлоіти.

• WordPress Bulletproof-Security .51 XSS / SQL Injection / SSRF (деталі)
• Joomla/WordPress XCloner Command Execution / Password Disclosure (деталі)
• Another WordPress Classifieds Cross Site Scripting / SQL Injection (деталі)
• WordPress SupportEzzy Ticket System 1.2.5 Cross Site Scripting (деталі)
• WordPress CM Download Manager 2.0.0 Code Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in Cisco Secure Access Control System (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• Multiple vulnerabilities in phpMyAdmin (деталі)
• Security advisory for Bugzilla 4.5.6, 4.4.6, 4.2.11, and 4.0.15 (деталі)
• Critical vulnerabilities in T-Mobile HOME NET Router LTE (Huawei B593u-12) (деталі)

В даній добірці уразливості в веб додатках:

• Apache CloudStack ListNetworkACL API discloses ACLs for other users (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• HTTP Commander AJS v3.1.9 - Client Side Exception Vulnerability (деталі)
• mediawiki security update (деталі)
• Apache CloudStack Virtual Router stop/start modifies firewall rules allowing additional access (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Creative Contact Form, CP Multi View Event Calendar, HTML5 / Flash Player, Download Manager, Clean And Simple Contact Form. Для котрих з’явилися експлоіти.

• WordPress / Joomla Creative Contact Form 0.9.7 Shell Upload (деталі)
• WordPress CP Multi View Event Calendar 1.01 SQL Injection (деталі)
• WordPress HTML5 / Flash Player SQL Injection (деталі)
• WordPress Download Manager Arbitrary File Download (деталі)
• WordPress Clean And Simple Contact Form 4.4.0 XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Vulnerability in elinks with SSL certificates (деталі)
• Reflected Cross-Site Scripting (XSS) in MODX Revolution (деталі)
• Reflected Cross-Site Scripting (XSS) in Textpattern (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• SimplyShare v1.4 iOS - Multiple Web Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Google Calendar Events, MaxButtons, WP Google Maps, Database Manager. Для котрих з’явилися експлоіти. А також Brute Forcer - це програма для підбору паролів на WP сайтах.

• WordPress Google Calendar Events 2.0.1 Cross Site Scripting (деталі)
• WordPress MaxButtons 1.26.0 Cross Site Scripting (деталі)
• WordPress WP Google Maps 6.0.26 Cross Site Scripting (деталі)
• WordPress Brute Forcer (деталі)
• WordPress Database Manager 2.7.1 Command Injection / Credential Leak (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Security Vulnerabilities in Apache Cordova / PhoneGap (деталі)
• Reflected Cross-Site Scripting (XSS) in MyWebSQL (деталі)
• Reflected Cross-Site Scripting (XSS) in BlackCat CMS (деталі)
• Path Traversal in webEdition (деталі)
• hplip security update (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Content Audit, BulletProof Security, InfusionSoft, EWWW Image Optimizer, Contact Form DB. Для котрих з’явилися експлоіти.

• WordPress Content Audit 1.6 Blind SQL Injection (деталі)
• WordPress BulletProof Security 50.8 Script Insertion (деталі)
• Wordpress InfusionSoft Upload (деталі)
• WordPress EWWW Image Optimizer 2.0.1 Cross Site Scripting (деталі)
• WordPress Contact Form DB 2.8.13 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.