Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах uploading downloading non-latin filename, Events Calendar, pm_market, WP Complete Backup, Jazzy Forms. Для котрих з’явилися експлоіти.

• WordPress uploadingdownloading-non-latin-filename 1.1.5 Arbitrary File Download (деталі)
• WordPress Events Calendar Premium 1.0 Database Disclosure (деталі)
• WordPress pm_market 1.0 Database Backup Disclosure (деталі)
• WordPress WP Complete Backup 3.0.5 Database Backup Disclosure (деталі)
• WordPress Jazzy Forms 1.1.1 Database Backup Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Вісімнадцять років тому, 18.07.2006, мій проект розпочав свою роботу. Цього липня виповнилося 18 років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені SecurityAlert та інші Секюріті програми.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023 та за 06.02.2023-12.02.2023. Це нові дані.

В лютому:

Третій тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3HXciV0.
Закрив акаунт Наталії Поклонської в Twitter https://bit.ly/40VGUyD.
Українські Кібер Війська щодня виявляють російські танки та іншу військову техніку в Донецьку https://bit.ly/3K4vrH6.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru http://bit.ly/3E8UdC1.
Відео-розвідка: УКВ виявили, як російські окупанти висилають додому награбоване поштою в Бєлгороді http://bit.ly/3lF8O1D.
Українські Кібер Війська заблокували 320 сайтів терористів https://bit.ly/3xsaKgJ.
Українські Кібер Війська ідентифікували тисячі ворогів. Персональні дані власників сайтів терористів, що я висилав у СБУ з 2014 року https://bit.ly/3XFG5qT.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3XNNq88.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку і Криму https://bit.ly/3lOUT9D.
Українські Кібер Війська заблокували 320 сайтів терористів https://bit.ly/3lChu95.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://krychevsky-family.opishne-museum.gov.ua (хакерами з Family Attack Cyber) - 18.08.2023 - похаканий державний сайт
• https://shop.opishne-museum.gov.ua (хакерами з Family Attack Cyber) - 18.08.2023 - похаканий державний сайт
• https://ilady.kharkiv.ua (хакером Rayzky) - 04.02.2024
• https://generalsurgery.com.ua (хакером KingSkrupellos) - 23.04.2024
• https://sts.nangu.edu.ua (хакером KingSkrupellos) - 01.05.2024

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• LAND
• HTTP POST flood
• PUSH and ACK floods
• Radio jamming
• Resource exhaustion attack

В даній добірці експлоіти в веб додатках:

• Osprey Pump Controller 1.0.1 - Unauthenticated Remote Code Execution Exploit (деталі)
• Osprey Pump Controller 1.0.1 - (eventFileSelected) Command Injection (деталі)
• Docker based datastores for IBM Instana 241-2 243-0 - No Authentication (деталі)
• IBM Aspera Faspex 4.4.1 - YAML deserialization (RCE) (деталі)
• Tenda N300 F3 12.01.01.48 - Malformed HTTP Request Header Processing (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах sermon-shortcodes, hwm_board, User Spam Remover, Delme, Advanced Custom Fields. Для котрих з’явилися експлоіти.

• WordPress sermon-shortcodes 1.0 Arbitrary File Download (деталі)
• WordPress hwm_board 1.0 Arbitrary File Disclosure (деталі)
• WordPress user-spam-remover 1.0 Database Disclosure (деталі)
• WordPress Delme 3.0 Database Disclosure (деталі)
• WordPress Advanced Custom Fields 5.7.7 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023 та за 30.01.2023-05.02.2023. Це нові дані.

В лютому:

Другий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3XcTfvg.
Українські Кібер Війська щодня виявляють російські МТ-ЛБ та іншу військову техніку в Донецьку https://bit.ly/3jFqIRq.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3DNrrHe.
Відео-розвідка: УКВ виявили, як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3HNPxTk.
Українські Кібер Війська заблокували 320 сайтів терористів https://bit.ly/40KKQSM.
Українські Кібер Війська виявили супутникові дані польотів російських літаків в Україні https://bit.ly/3xz0V0N.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3RTOq99.
Закрив акаунт Олега Царьова в Facebook https://bit.ly/3RUeEZ2.
Українські Кібер Війська заблокували 320 сайтів терористів https://bit.ly/3YrynSo.
Українські Кібер Війська записали полковника терористів в Алчевську https://bit.ly/3lxBQAd.

У серпні, 03.08.2023, вийшли PHP 8.0.30, PHP 8.1.22 і PHP 8.2.9. У версії PHP 8.0.30 виправлено дві уразливості, у всіх інших версіях виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.0.x, 8.1.x і 8.2.x.

У PHP 8.0.30, 8.1.22 і 8.2.9 виправлено:

• Численні вибивання.
• Пошкодження пам’яті.
• Витоки пам’яті в Intl та FTP.
• XML External Entity (XXE) уразливість.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://voting.opishne-museum.gov.ua (хакерами з Family Attack Cyber) - 18.08.2023 - похаканий державний сайт
• https://knigozbirnia.opishne-museum.gov.ua (хакерами з Family Attack Cyber) - 18.08.2023 - похаканий державний сайт
• https://bygaga.com.ua (хакером Rayzky) - 26.01.2024
• http://uwtech.knuba.edu.ua (хакером KingSkrupellos) - 20.04.2024
• http://kyivskizbirnyky.org.ua (хакером KingSkrupellos) - 23.04.2024