Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах User Registration & Membership, PZ Frontend Manager, LearnPress, Depicter і темі XStore. Для котрих з’явилися експлоіти.

• Wordpress Theme XStore 9.3.8 - SQLi (деталі)
• WordPress User Registration & Membership Plugin 4.1.1 - Unauthenticated Privilege Escalation (деталі)
• PZ Frontend Manager WordPress Plugin 1.0.5 - Cross Site Request Forgery (CSRF) (деталі)
• LearnPress WordPress LMS Plugin 4.2.7 - SQL Injection (деталі)
• WordPress Depicter Plugin 3.6.1 - SQL Injection (деталі)

У лютому хакнули роботів пилосмоків DJI Romo по всьому світу.

DJI зробили бекдор в своєму пилосмоку, ще й дірявий код. Семмі Аздуфаль вирішив під’єднати свій PS5 геймпад до DJI Romo і написав код, що випадково хакнув цей бекдор. І він отримав доступ не лише до камери свого пилосмоку, але й до пристроїв по всьому світу. Всього він отримав доступ до 6700 пилосмоків у 24 країнах світу, перехопив понад 100000 пакетів даних і відкрив доступ до прямих ефірів з камер роботів.

Навіть якщо це не бекдор, щоб слідкувати за людьми та їх квартирами, а саме офіційний функціонал. Але вони не мали давати доступ до тисяч пристроїв по всьому світу, тому дірка тут безумовна. Людина підняла права від свого робота, до всіх у системі. Сам я знаходив не лише уразливості на мільйонах сайтів, але також уразливості в десятках тисяч веб додатків, IoT і мережевих пристроїв - не в пилосмоках, але в усьому іншому. Тому всі вони діряві та завжди потрібен аудит безпеки пристроїв.

Мораль така, що потрібно перевіряти код на вразливості та завжди дбати про безпеку своїх сайтів і всіх пристроїв, чим як DJI, так і всі в Україні не займаються, про що нагадую щодня з 2005. Тисячі державних сайтів були хакнуті чи інфіковані за 30 років. Всі мої дані про уразливості на сайтах за ці роки проігноровані.

У березні багато роботів пилососів Ecovacs були хакнуті в США.

Багато роботів пилососів були хакнуті в США в останні дні. Та не лише для віддаленого спостереження, але й для лайки на їхніх власників. Зокрема хакнули моделі Ecovacs Deebot X2 у різних містах. Повідомляють як про лайку через спікери роботів, так і про атаки роботів пилососів на людей та собак в будинку.

А я кілька десятків років повідомляю про дірки в усіх сайтах та IoT, але всім українцям байдуже. Завжди проводьте аудит безпеки.

В даній добірці експлоіти в веб додатках:

• Remote Keyboard Desktop 1.0.1 - Remote Code Execution (RCE) (деталі)
• Windows 2024.15 - Unauthenticated Desktop Screenshot Capture (деталі)
• Grandstream GSD3710 1.0.11.13 - Stack Buffer Overflow (деталі)
• ABB Cylon Aspect 3.08.03 - Guest2Root Privilege Escalation (деталі)
• Fortra GoAnywhere MFT 7.4.1 - Authentication Bypass (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://ojs.iod.gov.ua (хакером R4iseUp) - 05.10.2025 - похаканий державний сайт
• https://school1.irpinosvita.gov.ua (хакерами з chinafans) - 13.01.2026 - похаканий державний сайт
• https://znz28.cv.ua (хакером Ali HawleRy) - 19.06.2024
• https://tks.kharkov.ua (хакером omgsmok) - 10.07.2024
• https://jareck.kiev.ua (хакерами з Azzasec) - 12.07.2024

У березні, 08.03.2026, вийшов Perl 5.42.1. У цій версії виправлено багато багів і додані покращення. Зокрема нові оператори, лексичні методи, підтримка Unicode 16.0 та пришвидшення роботи оператора tr.

Даний реліз направлений на покращення безпеки і стабільності гілок 5.42.x.

Нагадаю, що в 2020 році було анонсовано Perl 7, який мав базуватися на Perl 5.32, але з “сучасними” налаштуваннями за замовчуванням (strict, warnings тощо). Але потім його відмінили. Perl 7 фактично перетворився на сучасний Perl 5.x.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023, дані за 14.08.2023-20.08.2023, дані за 21.08.2023-27.08.2023, дані за 28.08.2023-03.09.2023, дані за 04.09.2023-10.09.2023, дані за 11.09.2023-17.09.2023, дані за 18.09.2023-24.09.2023, дані за 30.10.2023-05.11.2023. Це нові дані.

У листопаді:

Другий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3FSGbF2.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/49rsB9r.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/47r6EW2.
Це документ російських терористів терористів https://bit.ly/469oN9K.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/46efsxA.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/47xDQLT.
Відео-розвідка: УКВ знову виявили колону російської військової техніки в Керчі https://bit.ly/40wM0BP.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3uaqff5.

У червні, 05.06.2025, вийшли PHP 8.3.22 і PHP 8.4.8. У версії PHP 8.3.22 виправлено багато багів і уразливостей, у версії PHP 8.4.8 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.22 і 8.4.8 виправлено:

• Витоки пам’яті.
• Численні вибивання.
• Витік з вибиванням на Windows.
• Численні пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

В даній добірці експлоіти в веб додатках:

• WonderCMS 3.4.2 - Remote Code Execution (RCE) (деталі)
• Firefox ESR 115.11 - PDF.js Arbitrary JavaScript execution (деталі)
• Apache ActiveMQ 6.1.6 - Denial of Service (DOS) (деталі)
• Invision Community 5.0.6 - Remote Code Execution (RCE) (деталі)
• CrushFTP 11.3.1 - Authentication Bypass (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів, як от магазин НБУ.

• https://coins.bank.gov.ua (хакером Panataran) - 19.02.2026 - похаканий державний сайт
• https://smartgrow.com.ua (хакерами з Fallaga Team) - 29.06.2024
• https://tks.kharkov.ua (хакером omgsmok) - 10.07.2024
• https://jareck.kiev.ua (хакерами з Azzasec) - 12.07.2024
• DDoS атака на lanet.ua - 12.03.2026

Нещодавно дослідники з Tenable виявили дев’ять уразливостей в Google Looker Studio, які прозвали LeakyLooker дірками. Вони дозволяли робити довільні SQL запити до БД і отримувати дані з хмари. В тому числі був доступ між тенантами.

Були використані BigQuery, Sheets, PostgreSQL та інші конектори. Це можна назвати Cross-tenant SQL Injection, коли був доступ між різною хмарною інфраструктурою.

У своїй статті Класифікація SQL Injection уразливостей я навів два типи SQLi - Reflected SQL Injection та Persistent SQL Injection, а вже в 2010 році навів третій тип Encoded SQL Injection. Можливо це буде новим типом.