Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Trinity та плагінах Photo Album Plus, Wordfence, Slideshow Gallery, Login Widget With Shortcode. Для котрих з’явилися експлоіти.

• WordPress Trinity Theme Arbitrary File Download (деталі)
• WordPress Photo Album Plus 5.4.4 Cross Site Scripting (деталі)
• WordPress Wordfence 5.2.3 Cross Site Scripting / Bypass (деталі)
• WordPress Slideshow Gallery 1.4.6 Shell Upload (деталі)
• WordPress Login Widget With Shortcode 3.1.1 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Sonicwall GMS v7.x - Filter Bypass & Persistent Vulnerability (0Day) (деталі)
• MEHR Automation System Arbitrary File Download Vulnerability (persian portal) (деталі)
• CSRF protection bypass in “KonaKart” Java eCommerce product (деталі)
• mantis security update (деталі)
• ES746 DELL Support-Bulletin - EMS Vulnerability Resolved (деталі)

У серпні, 17.08.2013, я знайшов Insufficient Anti-automation та інші уразливості на сайті https://partner.privatbank.ua. На відміну від дірок на інших сайтах, ПБ не став оплачувати ці уразливості, бо не побачив ризику в них.

Стосовно ПриватБанка я вже писав про уразливості в LiqPAY для Android та iOS та уразливості на privatbank.ua.

Insufficient Anti-automation:

В скрипті https://partner.privatbank.ua/auth.php не булоє захисту від автоматизованих атак. Що дозволяло спамити смс-ками з OTP на довільні номери.

Дана уразливість та деякі інші не були виправлені в 2013 році. Але вже через рік банк прикрив цей сайт і встановив редирект на Приват24.

17.10.2014

У жовтні, 11.10.2014, я знайшов уразливості в Hikvision DS-7108HWI-SH. Це DVR - відеореєстратор (пристрій подібний до веб камери). Зокрема XML Injection, Brute Force та Abuse of Functionality уразливості.

Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-2CD2012-I.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

16.05.2015

XML Injection (WASC-23):

http://site/ISAPI/%3C/requestURL%3E%3Clink%3Ehttp://site%3C/link%3E%3CrequestURL%3E/

Її можна використати для XML Injection та XSS атак.

Abuse of Functionality (WASC-42):

Логін постійний: admin. Що спрощує Brute Force атаки.

Brute Force (WASC-11):

В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.

Всі ці уразливості наявні в різних камерах Hikvision. Розробники вже виправили XML Injection та Brute Force.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Urban City, Epic, Authentic, Antioch та плагіні Rich Counter. Для котрих з’явилися експлоіти.

• WordPress Urban City Arbitrary File Download (деталі)
• WordPress Epic Arbitrary File Download (деталі)
• WordPress Authentic Arbitrary File Download (деталі)
• WordPress Antioch Arbitrary File Download (деталі)
• WordPress Rich Counter 1.1.5 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP ProCurve Manager (PCM), HP PCM+ and HP Identity Driven Manager (IDM), SQL Injection, Remote Code Execution, Session Reuse (деталі)
• mediawiki security update (деталі)
• DNN(DotNetNuke) Iconbar Control Panel Bad Access Level config (деталі)
• DNN(DotNetNuke) Ribbon Bar Control Panel Bad Access Level config (деталі)
• Multiple vulnerabilities in SpamTitan (деталі)

19.09.2014

У серпні, 22.08.2014, я знайшов уразливості в Hikvision DS-2CD2012-I. Це IP Camera - мережева веб камера. Зокрема XML Injection, Brute Force та Abuse of Functionality уразливості.

Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-2CD2412F-IW.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

14.05.2015

XML Injection (WASC-23):

http://site/ISAPI/%3C/requestURL%3E%3Clink%3Ehttp://site%3C/link%3E%3CrequestURL%3E/

Її можна використати для XML Injection та XSS атак.

Abuse of Functionality (WASC-42):

Логін постійний: admin.

Brute Force (WASC-11):

В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.

Всі ці уразливості наявні в різних камерах Hikvision. Розробники вже виправили XML Injection та Brute Force.

В даній добірці уразливості в веб додатках:

• EMC Data Protection Advisor JBOSS Remote Code Execution Vulnerability (деталі)
• CSRF in Innovaphone PBX (деталі)
• python-django security update (деталі)
• Node Browserify RCE vuln (<= 4.2.0) (деталі)
• HP Officejet Pro 8500 (A909) All-in-One Printer, Cross-Site Scripting (XSS) (деталі)

31.01.2015

У листопаді, 27.11.2012, я знайшов Content Spoofing та Cross-Site Scripting уразливості на http://www.kmu.gov.ua - сайті Кабінету Міністрів України. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.kmu.gov.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

01.05.2015

Content Spoofing:

http://www.kmu.gov.ua/swf/flowplayer-3.2.7.swf?config=http://site/1

Cross-Site Scripting:

http://www.kmu.gov.ua/swf/flowplayer-3.2.7.swf?config=http://site/xss

Дані уразливості вже виправлені шляхом оновлення флешки Flowplayer. Багато років вони використовували діряву флешку, після мого листа змінили її на безпечну версію, але не подякували мені за повідомлення про уразливості. Як це завжди робили адміни КМУ та багатьох інших державних сайтів на протязі 2006-2015 років.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах NativeChurch, lote27, FR0_theme, acento і плагінах Advanced Access Manager, Bulk Delete Users By Email, Like Dislike Counter та Spider Facebook. Для котрих з’явилися експлоіти.

• WordPress NativeChurch / lote27 / FR0_theme / acento File Download (деталі)
• WordPress Advanced Access Manager 2.8.2 File Write / Code Execution (деталі)
• WordPress Bulk Delete Users By Email 1.0 CSRF (деталі)
• WordPress Like Dislike Counter 1.2.3 SQL Injection (деталі)
• WordPress Spider Facebook 1.0.8 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.