Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах adivaha Travel, Forminator, Elementor, Masterstudy LMS. Для котрих з’явилися експлоіти.

• WordPress adivaha Travel Plugin 2.3 - SQL Injection (деталі)
• WordPress adivaha Travel Plugin 2.3 - Reflected XSS (деталі)
• WordPress Plugin Forminator 1.24.6 - Unauthenticated Remote Command Execution (деталі)
• Wordpress Plugin Elementor 3.5.5 - Iframe Injection (деталі)
• Wordpress Plugin Masterstudy LMS 3.0.17 - Unauthenticated Instructor Account Creation (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці експлоіти в веб додатках:

• Viessmann Vitogate 300 2.1.3.0 - Remote Code Execution (RCE) (деталі)
• Ruijie Switch PSG-5124 26293 - Remote Code Execution (RCE) (деталі)
• TELSAT marKoni FM Transmitter 1.9.5 - Root Command Injection (деталі)
• TELSAT marKoni FM Transmitter 1.9.5 - Backdoor Account Information Disclosure (деталі)
• minaliC 2.0.0 - Denied of Service (деталі)

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023 та за 10.07.2023-16.07.2023. Це нові дані.

В липні:

Третій тиждень.

Супутниковий знімок наслідків вибуху Кримського мосту https://bit.ly/44L0jUc.
Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3Q25OtC.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/43BXeEW.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/43yk8Nl.
Відео-розвідка: Українські Кібер Війська виявили копа зрадника в Криму https://bit.ly/3Q3TGYS.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/3rBB7Bp.
Українські Кібер Війська виявили, як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3rC8GmS.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3q3uA1G.
Про ракети Онікс і береговий ракетний комплекс Бастіон. Українські Кібер Війська виявили комплекс в Криму ще в 2016 https://bit.ly/44DlrvN.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/3pZ3yZo.

У серпні, 29.08.2024, вийшли PHP 8.2.23 і PHP 8.3.11. У версії PHP 8.2.23 виправлено багато багів і уразливостей, у версії PHP 8.3.11 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.2.x і 8.3.x.

У PHP 8.2.23 і 8.3.11 виправлено:

• Численні вибивання.
• Пошкодження пам’яті.
• Численні витоки пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

На початку жовтня я знайшов Information Leakage уразливість на сайті connect.dtek-kem.com.ua. Відразу я вислав ці дані адмінам.

Але офіційна пошта в них виявилась не робоча - скринька переповнена. Вислав через FB і працівники подякували. Хоча досі не кажуть чи виправили.

Information Leakage (WASC-13):

Витік паролів користувачів сайту ДТЕК при реєстрації. Вони по смс вислали мій логін і пароль. Який я створив при реєстрації та надійно зберіг, щоб ніхто не дізнався.

Кожен силовик може перехопити смс, як СБУ та інші, а також злочинці, що мають прилади. І постійно слідкують за дзвінками і повідомленнями українців. Тому в смс не має бути постійних паролів, лише одноразові (другий фактор).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://archbor.gov.ua (хакером 0×1998) - 27.07.2024 - похаканий державний сайт
• https://journals.knute.edu.ua (хакером KingSkrupellos) - 20.04.2024
• https://relint.vnu.edu.ua (хакером KingSkrupellos) - 20.04.2024
• https://snku.krok.edu.ua (хакером KingSkrupellos) - 20.04.2024
• https://doctor-vinnik.com.ua (хакерами з Turk Hack Team) - 22.04.2024

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023 та за 03.07.2023-09.07.2023. Це нові дані.

В липні:

Другий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/44IxbNr.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/3XLpt2P.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/46J7QEJ.
Це документ російських терористів https://bit.ly/3rASNNa.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/3D9CWIh.
Українські Кібер Війська виявили, як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/44FQqXG.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3XVdHTG.
Відео-розвідка: УКВ записали перевезення танків у Керчі https://bit.ly/46RehWn.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/3OfJgUH.
Українські Кібер Війська виявили багато колаборантів з номерами ДНР https://bit.ly/43nopmQ.

Раніше, 22.03.2013, я знайшов Information Leakage, Insufficient Authentication та Brute Force уразливості на сайті idea.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Information Leakage (WASC-13):

http://217.117.65.248/s3/bestpercent/

Витік інформації банку, що призначена не для всіх.

Insufficient Authentication (WASC-01):

Доступ до цього розділу на https://idea.privatbank.ua/s3/bestpercent/ заборонений, але доступний на http://217.117.65.248 - якщо зайти на сайт по IP.

А також це стосується інших ресурсів, які на idea.privatbank.ua вимагають аутентифікації.

Brute Force (WASC-11):

https://idea.privatbank.ua/sa/close/login
https://idea.privatbank.ua/sa/cpanel/ та ще одна

Відсутність захисту від підбору пароля адміна.

ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023 та за 26.06.2023-02.07.2023. Це нові дані.

В липні:

Перший тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3JGjq9T.
Дані розвідки про вибухівку на даху кількох енергоблоків ЗАЕС https://bit.ly/3XGW0XB.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/43hfKSS.
Українські Кібер Війська щодня виявляють російські танки в Донецьку та С-300 в Криму https://bit.ly/3pviezo.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/3rfNT8v.
Відео-розвідка: УКВ виявили, як родичі висилають спорядження окупантам поштою Шебекіно https://bit.ly/3pBsNAL.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/43hxmy5.
Українські Кібер Війська закрили сайт терористів 2000.ua https://bit.ly/44dHyc4.
Це документ російських терористів https://bit.ly/46JabPW.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/44sxdZE.

В даній добірці експлоіти в веб додатках:

• OpenPLC WebServer 3 - Denial of Service (деталі)
• JetBrains TeamCity 2023.05.3 - Remote Code Execution (RCE) (деталі)
• Honeywell PM43 < P10.19.050004 - Remote Code Execution (RCE) (деталі)
• SolarView Compact 6.00 - Command Injection (деталі)
• GitLab CE/EE < 16.7.2 - Password Reset (деталі)