WordPress 3.6.1 łata remote code execution
Od kilku dni dostępne jest dość szczegółowe opracowanie dotyczące luki w WordPress < 3.6.1, umożliwiającej zdalne wykonanie kodu w OS. Prawdopodobnie sprawa nie jest łatwo wykorzystywalna na...
View ArticleBlind SQLi w WordPress Slimstat plugin
Odkryta podatność w bardzo popularnym pluginie Slimstat może umożliwić atakującemu wstrzyknięcie zapytania SQL i pobranie dowolnej informacji z bazy Wordpressa.
View ArticleZnaleźli ~7000 pluginów do WordPress-a z istotnymi podatnościami. 20% to SQL...
Opis analizy pluginów do WordPressa z wykorzystaniem zaledwie zautomatyzowanej, statycznej analizy kodu źródłowego. W badaniu przeanalizowano 47,959 pluginów a w prawie 3000 znaleziono podatności o...
View ArticleMożna bez uprawnień edytować posty w WordPress – aktualizujcie!
W WordPressie 4.7.0 włączono domyślnie API REST, które umożliwia na tworzenie, usuwanie czy edytowanie postów. Oczywiście tylko użytkownikom posiadającym uprawnienia… czy aby na pewno? Okazuje się, że...
View ArticleMasowe hacki WordPressa – przejęte również polskie serwisy
Parę dni temu wspominaliśmy o podatności w WordPressie 4.7.0 / 4.7.1 umożliwiającej m.in. podmianę zawartości postów. Obecnie trwają zautomatyzowane kampanie atakujące podatne instancje. Wg Sucuri...
View ArticleJuż ~1,5 miliona stron przejętych – critical w WordPress. Do akcji wkracza...
Niedawno pisaliśmy o podatności wprowadzonej w wersji 4.7.0 WordPressa. Później było o kampaniach wykorzystujących ten błąd (ofiarą są również serwisy z Polski). Obecnie pojedyncze kampanie przybrały...
View ArticleBlog o bezpieczeństwie TrendMicro… hacknięty
Wg serwisu Silicon tym razem był to … wielokrotnie wspominany w ostatnich dniach na sekuraku problem z WordPressem 4.7.0/4.7.1. Silicon zaznacza, że Rik Ferguson z Trend Micro potwierdził incydent i...
View ArticleSQL injection wiecznie żywy: plugin WordPress z 1 000 000+ instalacji
W 2017 roku SQL injection wcale nie chce zniknąć. Tym razem firma Sucuri zlokalizowała tego typu podatność (nie wymagającą uwierzytelnienia) w popularnym pluginie do WordPressa – NextGEN Gallery. Dla...
View ArticleWordPress: możliwość resetu hasła dowolnemu użytkownikowi
Teoretycznie podatne są wszystkie WordPressy – aż do najnowszego 4.7.4. Czy panikować? Nie. Raczej poczytać dokładnie oryginalny research + skrót poniżej. W praktyce mamy parę warunków, które muszą być...
View ArticleJak zabezpieczyć WordPress – poradnik krok po kroku
Decyzja o tym, jakie oprogramowanie wykorzystamy w wybranym celu, często podejmowana jest na podstawie analizy czasu potrzebnego na jego wdrożenie oraz sumarycznej ilości funkcji, jakie ten system nam...
View ArticleNieprzedłużona domena, WordPress i skrypt JavaScript
Aplikacje WWW narażone są na wiele zagrożeń; czasem są to klasyczne wektory ataku znane z OWASP Top 10, innym razem okazuje się, że potencjalna luka bezpieczeństwa “aktywuje się” dopiero po jakimś...
View ArticleWordPress wypuszcza aktualizację – SQL injection
Wczoraj udostępniona została aktualizacja Wordpressa (4.8.3), która po raz drugi łata problemy z SQL injection (poprzednia nieudana - jak się okazało - próba była w 4.8.2).
View ArticlePlugin CAPTCHA do WordPressa (300 000 instalacji) – z backdoorem
Niepokojący opis historii darmowego pluginu do WordPressa oferowanego przez BestWebSoft (300 000 aktywnych instalacji), pierwsze miejsce w oficjalnym repozytorium WordPress – po wyszukaniu captcha....
View ArticleKampania masowych infekcji WordPressa – jest też kilka ofiar z Polski
O problemie donosi Malwarebytes. Przejęcie kontroli nad serwisem odbywa się najprawdopodobniej poprzez podatności w niezaktualizowanych pluginach. Zainfekowana strona wyświetla użytkownikom niepokojące...
View Article0day w pluginie WordPressa do wysyłania maili
Chodzi o easy Easy WP SMTP (300 000+ instalacji) – operacja masowego wykorzystywania luki w tym oprogramowaniu trwa w najlepsze. NinTechNet zauważył aktywne ataki na instancje WordPressa...
View ArticleCiekawa, historyczna podatność w WordPress: możliwość wypakowania pliku…...
Różne pluginy korzystają z wordpressowej funkcji unzip_file, która służy do zwykłego rozpakowywania zipów. Co może być groźnego w zwykłym rozpakowywaniu zipów? Wiele. Wyobraźmy sobie że dostajemy od...
View ArticleKrytyczna podatność w bardzo popularnym pluginie WordPressa (Contact Form 7)....
O temacie informuje Bleeping Computer: In the vulnerable versions, the plugin does not remove special characters from the uploaded filename, including the control character and separators. This could...
View ArticleWordPress na celowniku. Zerodium oferuje ~ $300.000 za 0-day’a (RCE 0-click)
WordPress to najpopularniejszy system zarządzania treścią na świecie. Według danych W3Techs, firmy analizującej rynek IT, w maju 2018 aż 30,7% stron na świecie pracowało, wykorzystując WordPressa. Na...
View ArticleWordPress wymusił instalację aktualizacji pluginu na paru milionach...
Podatność występowała w pluginie UpdraftPlus (przeszło 3 miliony instalacji). WordPress zdecydował się na dość nietypowy krok – czyli wymuszenie aktualizacji, a wg statystyk, aktualizację zainstalowało...
View ArticleAtakujący próbują właśnie przejąć ~200 000 instalacji WordPress z...
Szczegóły podatności dostępne są tutaj: unpatched privilege escalation vulnerability being actively exploited in Ultimate Member, a WordPress plugin installed on over 200,000 sites Badacze donoszą, że...
View Article
More Pages to Explore .....