Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• EMC Avamar Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in Drupal (деталі)
• NewsAktuell PressePortal DE - Remote SQL Injection Web Vulnerability (деталі)
• Hash Length Extension in HTMLPurifier (деталі)
• HP System Management Homepage (SMH) running on Linux and Windows, Multiple Remote and Local Vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• HP Database and Middleware Automation (DMA) using SSL, Remote Disclosure of Information (деталі)
• Mybb Ajaxfs Plugin Sql Injection vulnerability (деталі)
• Open-Xchange Security Advisory 2013-11-25 (деталі)
• Multiple vulnerabilities in Bugzilla (деталі)
• Multiple vulnerabilities in IceWarp Mail Server (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Elemin, iFolo та Js-Multi-Hotel. Для котрих з’явилися експлоіти. Elemin - це тема движка, Folo - це тема движка, Js-Multi-Hotel - це плагін для створення системи резервації місць у готелях.

• WordPress Elemin Shell Upload (деталі)
• WordPress Folo Shell Upload (деталі)
• WordPress Js-Multi-Hotel 2.2.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Huawei E587 3G Mobile Hotspot Command Injection (деталі)
• Apache Commons FileUpload vulnerability (деталі)
• PHP-Nuke 8.2.4 multiple vulnerabilities (деталі)
• EMC Document Sciences xPression Multiple Vulnerabilities (деталі)
• Huawei E587 3G Mobile Hotspot Web UI Cross Site Scripting vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Dell Kace 1000 SMA 5.4.742 - SQL Injection Vulnerabilities (деталі)
• spip security update (деталі)
• Vulnerability in Apache mod_fcgid (деталі)
• Apache XML Security for Java vulnerability (деталі)
• Dell Kace 1000 SMA v5.4.70402 - Persistent Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Suco, iThemes2 та Optin Fire. Для котрих з’явилися експлоіти. Suco - це тема движка, iThemes2 - це тема движка, Optin Fire - це плагін для створення сторінок продажів.

• WordPress Suco Shell Upload (деталі)
• WordPress iThemes2 Shell Upload (деталі)
• WordPress Optinfirex Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• MiniDLNA v1.0.25 Multiple Vulnerabilities (деталі)
• SQL Injection vulnerability in “Project’Or RIA” allow arbitrary access to the database and the file system (деталі)
• Multiple XSS vulnerabilities in “Project’Or RIA” (деталі)
• Vulnerability in Pydio/AjaXplorer <= 5.0.3 (деталі)
• Trend Micro DirectPass 1.5.0.1060 - Multiple Vulnerabilities (деталі)

У березні, 09.03.2014, я знайшов Cross-Site Scripting та інші уразливості на сайті Верховної Ради АР Крим - http://www.rada.crimea.ua. Про що в той день повідомив на Twitter і Facebook. Де я розмістив PoC і скріншот з демонстрацією того, як я відмінив референдум в Криму.

Стосовно державних сайтів в останнє я писав про уразливості на president.gov.ua.

XSS:

• alert(document.cookie)
• цікавий
• відміна референдуму в Криму

На сайті є й інші дірки. Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• ASUS RT-N66U Router - HTTPS Directory traversal and full file access and credential disclosure vuln (деталі)
• Multiple XSS vulnerabilities in “Project’Or RIA” (деталі)
• Vulnerability in Pydio/AjaXplorer <= 5.0.3 (деталі)
• spip security update (деталі)
• Full Disclosure ASUS Wireless Routers Ten Models - Multiple Vulnerabilities on AiCloud enabled units (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Dimension, Euclid та Pretty Photo. Для котрих з’явилися експлоіти. Dimension - це тема движка, Euclid - це тема движка, Amerisale-Re - це плагін для створення онлайн-магазина.

• WordPress Dimension Cross Site Request Forgery (деталі)
• WordPress Euclid Cross Site Request Forgery (деталі)
• WordPress Amerisale-Re Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.