Websecurity - Веб безпека

У листопаді, 24.11.2022, вийшли PHP 8.0.26 і PHP 8.1.13. У версії 8.0.26 виправлено багато багів і уразливостей, у версії PHP 8.1.13 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.0.x і 8.1.x.

У PHP 8.0.26 і 8.1.13 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022, дані за 22.08.2022-28.08.2022, дані за 29.08.2022-04.09.2022, дані за 05.09.2022-11.09.2022 та за 12.09.2022-18.09.2022. Це нові дані.

У вересні:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3Upf4aM.
Українські Кібер Війська виявили, що російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3BwG27R.
Відео-розвідка: російський окупант висилає додому награбоване в Україні поштою в Бєлгороді https://bit.ly/3dvAoej.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3Sl9Qf3.
Українські Кібер Війська виявили колону військової техніки в Керчі https://bit.ly/3C4Qyoc.
Українські Кібер Війська заблокували 300 сайтів терористів https://bit.ly/3xRTgv0.
Відео-розвідка: виявив, як російські окупанти проводять псевдо референдум на Запоріжжі https://bit.ly/3fgM8ln.
Українські Кібер Війська виявили, як численні російські окупанти висилають додому награбоване в Україні поштою в Валуйки https://bit.ly/3Rcd7M0.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3BIXQNg.
Опублікував хакнуті Skype і Viber голови ДНР Пушиліна https://bit.ly/3SwypVN.

В даній добірці експлоіти в веб додатках:

• Schneider Electric C-Bus Automation Controller (5500SHAC) 1.10 - Remote Code Execution (RCE) (деталі)
• SolarView Compact 6.00 - Directory Traversal (деталі)
• Algo 8028 Control Panel - Remote Code Execution (RCE) (Authenticated) (деталі)
• TP-Link Router AX50 firmware 210730 - Remote Code Execution (RCE) (Authenticated) (деталі)
• Schneider Electric SpaceLogic C-Bus Home Controller (5200WHC2) - Remote Code Execution (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://opishne-museum.gov.ua (хакерами з Family Attack Cyber) - 28.07.2021 - похаканий державний сайт
• http://poshyvailo-potters.gov.ua (хакерами з Family Attack Cyber) - 28.07.2021 - похаканий державний сайт
• http://old.pokrovsk-rada.gov.ua (хакером z3ran gaza hack3er) - 30.07.2021 - похаканий державний сайт
• https://bulbsandroots.com.ua (росіянами) - 15.03.2022
• http://sociostudios.vnu.edu.ua (хакером Simsimi) - 18.04.2023

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Redirection, Comments Import And Export, iThemes Security, Advanced Order Export For WooCommerce та в самому WordPress. Для котрих з’явилися експлоіти.

• WordPress Redirection 2.7.1 Deserialization Code Execution (деталі)
• WordPress Comments Import And Export CSV Injection (деталі)
• WordPress iThemes Security SQL Injection (деталі)
• WordPress Advanced Order Export For WooCommerce CSV Injection (деталі)
• WordPress 4.9.6 Arbitrary File Deletion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022, дані за 22.08.2022-28.08.2022, дані за 29.08.2022-04.09.2022 та за 05.09.2022-11.09.2022. Це нові дані.

У вересні:

Третій тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3L5YdWl.
Українські військові вперше збили іранський ударний безпілотник поблизу Куп’янська. Про всю хакнуту мною інформацію в окупантів на тему дронів https://bit.ly/3qAV9YT.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3BHDgy1.
Відео розвідка: українські війська вигнали окупантів з Харківщини і під час втечі вони вивезли награбоване. Очікую мародерів на пошті https://bit.ly/3Dl88pc.
Українські Кібер Війська заблокували 300 сайтів терористів https://bit.ly/3RLaJx9.
Українські Кібер Війська щодня виявляють військову техніку в Криму https://bit.ly/3RSftRA.
Відео розвідка: Українські Кібер Війська виявили, що російські окупанти активно висилають додому награбоване поштою в Бєлгороді https://bit.ly/3Uhqptn.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3Dz1Wdg.
Українські Кібер Війська записали російську військову техніку в Євпаторії https://bit.ly/3LC3PrP.
Українські Кібер Війська заблокували 300 сайтів терористів https://bit.ly/3BswbQk.
Відео розвідка: УКВ виявили як російський окупант висилає додому поштою награбоване на Харківщині https://bit.ly/3BPhgkB.
Українські Кібер Війська взломали акаунт голови ДНР Пушиліна і виявили його подорожі в Росії https://bit.ly/3xxO6Ej.

У жовтні, 27.10.2022, вийшли PHP 8.0.25 і PHP 8.1.12. У версії 8.0.25 виправлено багато багів і уразливостей, у версії PHP 8.1.12 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.0.x і 8.1.x.

У PHP 8.0.25 і 8.1.12 виправлено:

• Витік інформації.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://selyuchenko-potters.gov.ua (хакерами з Family Attack Cyber) - 28.07.2021 - похаканий державний сайт
• http://ceramological-defect.com.ua (хакерами з Family Attack Cyber) - 28.07.2021
• https://anna-a.gadalka.s-host.net (росіянами) - 15.03.2022
• https://bogorad-arch.com.ua (росіянами) - 15.03.2022
• http://ugi.edu.ua (хакером Cee) - 22.12.2022

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022, дані за 22.08.2022-28.08.2022 та за 29.08.2022-04.09.2022. Це нові дані.

У вересні:

Другий тиждень.

Українські хакери захопили радіо в Криму та поставили наш гімн. Як я це робив на радіо ДНР https://bit.ly/3wNuw6j.
Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3cMyR39.
Українські Кібер Війська записали військову техніку в Криму https://bit.ly/3RCO5X6.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3qgkPts.
Відео розвідка: УКВ записали колону військової техніки в Керчі https://bit.ly/3TOYctI.
Українські Кібер Війська заблокували 300 сайтів терористів https://bit.ly/3B6J2b0.
Українські Кібер Війська виявили штаб російських окупантів, які готуються до референдуму на Донеччині https://bit.ly/3BtVp2b.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3ezpXGF.
Виявив дані про українців і дітей, яких окупанти вивезли на територію Росії https://bit.ly/3RzkGxj.
Українські Кібер Війська щодня виявляють танки в Донецьку https://bit.ly/3eyFbeV.
Українські Кібер Війська заблокували 300 сайтів терористів https://bit.ly/3eFPDkW.
Українські Кібер Війська записали фури з викраденим нашим зерном в Криму https://bit.ly/3qsnqke.

В даній добірці експлоіти в веб додатках:

• DLINK DAP-1620 A1 v1.01 - Directory Traversal (деталі)
• Ruijie Reyee Mesh Router - Remote Code Execution (RCE) (Authenticated) (деталі)
• SolarView Compact 6.0 - OS Command Injection (деталі)
• Zyxel USG FLEX 5.21 - OS Command Injection (деталі)
• Telesquare SDT-CW3B1 1.1.0 - OS Command Injection (деталі)