Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• WonderCMS 3.4.2 - Remote Code Execution (RCE) (деталі)
• Firefox ESR 115.11 - PDF.js Arbitrary JavaScript execution (деталі)
• Apache ActiveMQ 6.1.6 - Denial of Service (DOS) (деталі)
• Invision Community 5.0.6 - Remote Code Execution (RCE) (деталі)
• CrushFTP 11.3.1 - Authentication Bypass (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів, як от магазин НБУ.

• https://coins.bank.gov.ua (хакером Panataran) - 19.02.2026 - похаканий державний сайт
• https://smartgrow.com.ua (хакерами з Fallaga Team) - 29.06.2024
• https://tks.kharkov.ua (хакером omgsmok) - 10.07.2024
• https://jareck.kiev.ua (хакерами з Azzasec) - 12.07.2024
• DDoS атака на lanet.ua - 12.03.2026

Нещодавно дослідники з Tenable виявили дев’ять уразливостей в Google Looker Studio, які прозвали LeakyLooker дірками. Вони дозволяли робити довільні SQL запити до БД і отримувати дані з хмари. В тому числі був доступ між тенантами.

Були використані BigQuery, Sheets, PostgreSQL та інші конектори. Це можна назвати Cross-tenant SQL Injection, коли був доступ між різною хмарною інфраструктурою.

У своїй статті Класифікація SQL Injection уразливостей я навів два типи SQLi - Reflected SQL Injection та Persistent SQL Injection, а вже в 2010 році навів третій тип Encoded SQL Injection. Можливо це буде новим типом.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Alemha Watermarker, Playlist for Youtube, WP Video Playlist, Background Image Cropper і темі Travelscape. Для котрих з’явилися експлоіти.

• Wordpress Plugin Alemha Watermarker 1.3.1 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Theme Travelscape v1.0.3 - Arbitrary File Upload (деталі)
• Wordpress Plugin Playlist for Youtube 1.32 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Plugin WP Video Playlist 1.1.1 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Plugin Background Image Cropper v1.2 - Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023, дані за 14.08.2023-20.08.2023, дані за 21.08.2023-27.08.2023, дані за 28.08.2023-03.09.2023, дані за 04.09.2023-10.09.2023, дані за 11.09.2023-17.09.2023, дані за 18.09.2023-24.09.2023. Це нові дані.

У листопаді:

Перший тиждень.

Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/40i3FNr.
Черговий документ російських терористів https://bit.ly/3sdHvzo.
Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3u0oz7M.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/49k3t4p.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/47kno14.
Нові закриті сайти терористів https://bit.ly/3soQ8qP.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3uaNIwk.

У травні, 08.05.2025, вийшли PHP 8.3.21 і PHP 8.4.7. У версії PHP 8.3.21 виправлено багато багів і уразливостей, у версії PHP 8.4.7 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.21 і 8.4.7 виправлено:

• Численні вибивання.
• Багато витоків пам’яті.
• Два витоки в OpenSSL.
• Численні пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Вперше з листопада 2022 року публікую добірку інфікованих сайтів.

Я не мав часу і натхнення шукати нові такі сайти через війну. В останні місяці активно в мережі поширюються експлоіти Coruna та DarkSword, шкідливий код яких заражає пристрої на iOS. У тому числі були злами та розміщення на українських ресурсах.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• https://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• https://novosti.dn.ua - інфекція була виявлена 20.03.2026. Зараз сайт не входить до переліку підозрілих
• https://7aac.gov.ua - інфекція була виявлена 20.03.2026. Зараз сайт не входить до переліку підозрілих

В даній добірці експлоіти в веб додатках:

• TP-Link VN020 F3v(T) TT_V6.2.1021 - Buffer Overflow Memory Corruption (деталі)
• TP-Link VN020 F3v(T) TT_V6.2.1021 - Denial Of Service (DOS) (деталі)
• Langflow 1.3.0 - Remote Code Execution (RCE) (деталі)
• OpenSSH server (sshd) 9.8p1 - Race Condition (деталі)
• Ilevia EVE X1/X5 Server 4.7.18.0.eden - Reverse Rootshell (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://kompanievska-selrada.gov.ua (хакером Panataran) - 07.09.2024 - похаканий державний сайт
• https://autoliner.com.ua (хакером PantheonSec) - 18.06.2024
• https://gruzovoe-taksi.kiev.ua (хакером PantheonSec) - 18.06.2024
• https://v7125.dh.net.ua (хакером Ali HawleRy) - 19.06.2024
• https://znz28.cv.ua (хакером Ali HawleRy) - 19.06.2024

Раніше, 25.03.2013, я знайшов Full path disclosure, Information Leakage, а 27.03.2013 ще Cross-Site Scripting, Full path disclosure, Information Leakage та SQL Injection уразливості на сайті bonus.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Full path disclosure (WASC-13):

Витік шляху в http://bonus.privatbank.ua/stock/ та в інших розділах.

Information Leakage (WASC-13):

Витік усього SQL запиту (SQL DB Structure Extraction) в шести місцях.

Cross-Site Scripting (WASC-08):

Виявив XSS у чотирьох місцях.

SQL Injection (WASC-19):

Виявив критичні SQL ін’єкції в двох місцях, через які визначив СУБД.

ПриватБанк тоді проігнорував їх та не оплатив, окрім деяких на сайті. Вони лише заплатили за SQL Injection (і ще пару), але в п’ять разів менше від максимальної ціни, хоча це критичні дірки й банк заявляв, що за такі платить максимум. Раніше вони мені лише по XSS та іншим діркам занижували оплату, а з цього сайту почали по SQLi.

Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.