Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Contact Form Maker, Ultimate Form Builder, WP Google Map, Redirection, Tooltipy. Для котрих з’явилися експлоіти.

• WordPress Contact Form Maker 1.12.20 XSS / CSRF / SQL Injection (деталі)
• WordPress Ultimate Form Builder Lite 1.3.7 XSS / SQL Injection (деталі)
• WordPress WP Google Map 4.0.4 SQL Injection (деталі)
• WordPress Redirection 2.7.3 Remote File Inclusion (деталі)
• WordPress Tooltipy 5.0 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сімнадцять років тому, 18.07.2006, мій проект розпочав свою роботу. Цього липня виповнилося 17 років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені SecurityAlert та інші Секюріті програми.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022 та за 22.08.2022-28.08.2022. Це нові дані.

У вересні:

Перший тиждень (29.08.2022-04.09.2022).

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3KKGzYd.
Мої дані про українців і дітей, яких окупанти вивезли на територію Росії https://bit.ly/3e7e4rj.
Українські Кібер Війська записали колони російської військової техніки в Криму https://bit.ly/3TwI6EY.
Відео розвідка: УКВ записали російську військову техніку в Керчі https://bit.ly/3CKwQ1L.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3wLf0YP.
Українські Кібер Війська виявили, як ДНР проводить пропаганду в школах Донбасу https://bit.ly/3Rqr0XA.
Українські Кібер Війська заблокували 300 сайтів терористів https://bit.ly/3KIHEiR.
Відео розвідка: виявили як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3ejcF10.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3Q8CNc4.
Українські Кібер Війська виявили нову техніку російських окупантів в Криму https://bit.ly/3TJyff0.
Українські Кібер Війська заблокували 300 сайтів терористів https://bit.ly/3BcnESB.
Відео-розвідка: російські окупанти висилають додому награбоване в Україні поштою в Бєлгороді https://bit.ly/3QgtlU2.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ceramology.gov.ua (хакерами з Family Attack Cyber) - 28.07.2021 - похаканий державний сайт
• http://ceramology-inst.gov.ua (хакерами з Family Attack Cyber) - 28.07.2021 - похаканий державний сайт
• http://fix.ugi.edu.ua (хакером Mr. BDKR28) - 21.12.2022
• http://school.ugi.edu.ua (хакером Mr. BDKR28) - 21.12.2022
• http://suspilne.media (російськими хакерами) - 14.06.2023

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022 та за 15.08.2022-21.08.2022. Це нові дані.

У серпні:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3QJuUuD.
Українські Кібер Війська виявили підводний човен в Севастополі https://bit.ly/3c9gLYU.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3AhDMkf.
Відео розвідка: Українські Кібер Війська знайшли наші прапори на окупованій території та в Росії https://bit.ly/3ToqRpB.
Українські Кібер Війська захопили 260000 мережевих пристроїв і в День Незалежності України передали окупантам вітання https://bit.ly/3pFtENp.
Українські Кібер Війська записали колони російської військової техніки в Керчі https://bit.ly/3CwpO0O.
Українські Кібер Війська заблокували 300 сайтів терористів https://bit.ly/3pKZDeV.
Відео розвідка: УКВ записали колони російської військової техніки в Криму https://bit.ly/3KmS87q.
Українські Кібер Війська захопили дані пенсійного фонду ДНР https://bit.ly/3ApTslv.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3wAYLgW.
Відео розвідка: виявили як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3QYRuzI.
Українські Кібер Війська заблокували 300 сайтів терористів https://bit.ly/3dW8BTX.

В даній добірці експлоіти в веб додатках:

• USR IOT 4G LTE Industrial Cellular VPN Router 1.0.36 - Remote Root Backdoor (деталі)
• Pinkie 2.15 - TFTP Remote Buffer Overflow (PoC) (деталі)
• Tenda HG6 v3.3.0 - Remote Command Injection (деталі)
• SDT-CW3B1 1.1.0 - OS Command Injection (деталі)
• Apache Tomcat 10.1 - Denial Of Service (деталі)

У вересні, 29.09.2022, вийшли PHP 8.0.24 і PHP 8.1.11. У версії 8.0.24 виправлено багато багів і уразливостей, у версії PHP 8.1.11 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.0.x і 8.1.x.

У PHP 8.0.24 і 8.1.11 виправлено:

• Численні вибивання.
• Об’єднання імен HTTP змінних.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022 та за 08.08.2022-14.08.2022. Це нові дані.

У серпні:

Третій тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3PpdQso.
Ще в 2015 році Українські Кібер Війська виявили, що ДНР планує виробляти БПЛА https://bit.ly/3PFg3Al.
Українські Кібер Війська виявили гео-локацію вибухів на базі в Криму https://bit.ly/3PxSh8Z.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3w4sTB5.
Відео розвідка: УКВ записали військову техніку в Криму https://bit.ly/3AsFyjG.
Українські Кібер Війська заблокували 300 сайтів терористів https://bit.ly/3K2TS5B.
Українські Кібер Війська виявили гео-локацію вибухів на складі в Майське https://bit.ly/3we6yRr.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3dHSd9G.
Відео розвідка: УКВ записали військову техніку та швидкі в Керчі https://bit.ly/3QSsquh.
Українські Кібер Війська записали колони російської військової техніки в Криму https://bit.ly/3A9KDMr.
Українські Кібер Війська заблокували 300 сайтів терористів https://bit.ly/3c7X7MS.
Українські Кібер Війська захопили пошту Пушиліна https://bit.ly/3A7zZ94.

В статті про стан безпеки і витрати на захист gov.ua сайтів торік я піднімав цю тему. Схожа ситуація з навчальними ресурсами та всіма сайтами в Україні. Кількість атак лише постійно зростає.

Почитайте мої публікації в Facebook, які публікую щомісяця.

Тисячі gov.ua сайтів були хакнуті чи інфіковані за 23 роки. Але жоден випадок досі не розслідували і жодного чиновника не притягнули до відповідальності за це.

Тисячі gov.ua сайтів були хакнуті чи інфіковані та 1737 сайтів навчальних закладів були хакнуті за 18 років. Щодня атакують не лише онлайн магазини і державні сайти, але й edu.

Тисячі gov.ua сайтів були хакнуті чи інфіковані, а всього 89060 українських сайтів були хакнуті за 18 років.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Booking Calendar, Events Calendar, Form Maker, Pie Register, Tooltipy. Для котрих з’явилися експлоіти.

• WordPress Booking Calendar 3.0.0 Cross Site Scripting / SQL Injection (деталі)
• WordPress Events Calendar 1.0 SQL Injection (деталі)
• WordPress Form Maker 1.12.24 XSS / CSRF / SQL Injection (деталі)
• WordPress Pie Register Blind SQL Injection (деталі)
• WordPress Tooltipy 5.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.