Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• OpenStack Horizon vulnerability (деталі)
• Xalan-Java vulnerability (деталі)
• Dotclear <= 2.6.2 (XML-RPC Interface) Authentication Bypass Vulnerability (деталі)
• Dotclear <= 2.6.2 (Media Manager) Unrestricted File Upload Vulnerability (деталі)
• OpenStack Keystone vulnerability (деталі)

У січні, 05.01.2015, я виявив Abuse of Functionality та Cross-Site Request Forgery уразливості в Asus O!Play.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Random Banner, Easy Banners і My Login. Для котрих з’явилися експлоіти. Random Banner - це плагін для розміщення банерів, Easy Banners - це плагін для розміщення банерів, My Login - це тема движка.

• WordPress Random Banner 1.1.2.1 Cross Site Scripting (деталі)
• WordPress Easy Banners 1.4 Cross Site Scripting (деталі)
• WordPress Theme My Login 6.3.9 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• OpenVAS Manager And OpenVAS Administrator Vulnerable To Partial Authentication Bypass (деталі)
• ruby-actionpack-3.2 security update (деталі)
• Revive Adserver 3.0.5 fixes CSRF vulnerability (деталі)
• Construtiva CIS Manager CMS POST SQLi (деталі)
• sup-mail security update (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ml-slider, Bannerman і Custom Banners. Для котрих з’явилися експлоіти. ml-slider - це плагін, Bannerman - це плагін для розміщення банерів, Custom Banners - це плагін для розміщення банерів.

• WordPress ml-slider 2.5 Cross Site Scripting (деталі)
• WordPress Bannerman 0.2.4 Cross Site Scripting (деталі)
• WordPress Custom Banners 1.2.2.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• pineapp mailsecure remote no authenticated privilege escalation & remote execution code (деталі)
• Django: Malformed URLs from user input incorrectly validated (деталі)
• Multiple Stored XSS in FOG Image deployment system (деталі)
• Cobbler Arbitrary File Read CVE-2014-3225 (деталі)
• Vulnerability in Mozilla NSS (деталі)

В даній добірці уразливості в веб додатках:

• RSA Data Protection Manager Appliance Multiple Vulnerabilities (деталі)
• Drupal Flag 7.x-3.5 Module Vulnerability report: Arbitrary code execution due to improper input handling in flag importer (деталі)
• Pyplate multiple vulnerabilities (деталі)
• Zenoss Open Source monitoring System - Open Redirect & Stored XSS Vulnerabilities (деталі)
• Unauthorized console access on Satechi travel router v1.5 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах AdminOnline, Simple Share Buttons Adder і Construction Mode. Для котрих з’явилися експлоіти. AdminOnline - це плагін, Simple Share Buttons Adder - це плагін для поширення в соціальних мережах, Construction Mode - це плагін.

• WordPress AdminOnline Local File Disclosure (деталі)
• WordPress Simple Share Buttons Adder 4.4 CSRF / XSS (деталі)
• WordPress Construction Mode 1.8 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• DoS in memcached (деталі)
• OpenFiler - Arbitrary Code Execution & Stored XSS (деталі)
• Mumble 1.2.6: Mumble-SA-2014-005 and Mumble-SA-2014-006 (деталі)
• various NodeJS module vulnerabilities (деталі)
• Cisco TelePresence VX Clinical Assistant Administrative Password Reset Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• EMC Documentum Cross Site Scripting Vulnerability (деталі)
• Directory Traversal Vulnerability in VMTurbo Operations Manager 4.5 or earlier (деталі)
• Vulnerabilities in MediaWiki (деталі)
• SPICE vulnerability (деталі)
• EMC Documentum eRoom Multiple Cross Site Scripting Vulnerabilities (деталі)