Quantcast
Channel: wordpress - Sekurak
Browsing all 21 articles
Browse latest View live

WordPress 3.6.1 łata remote code execution

Od kilku dni dostępne jest dość szczegółowe opracowanie dotyczące luki w WordPress < 3.6.1,  umożliwiającej zdalne wykonanie kodu w OS. Prawdopodobnie sprawa nie jest łatwo wykorzystywalna na...

View Article



Blind SQLi w WordPress Slimstat plugin

Odkryta podatność w bardzo popularnym pluginie Slimstat może umożliwić atakującemu wstrzyknięcie zapytania SQL i pobranie dowolnej informacji z bazy Wordpressa.

View Article

Znaleźli ~7000 pluginów do WordPress-a z istotnymi podatnościami. 20% to SQL...

Opis analizy pluginów do WordPressa z wykorzystaniem zaledwie zautomatyzowanej, statycznej analizy kodu źródłowego. W badaniu przeanalizowano 47,959 pluginów a w prawie 3000 znaleziono podatności o...

View Article

Można bez uprawnień edytować posty w WordPress – aktualizujcie!

W WordPressie 4.7.0 włączono domyślnie API REST, które umożliwia na tworzenie, usuwanie czy edytowanie postów. Oczywiście tylko użytkownikom posiadającym uprawnienia… czy aby na pewno? Okazuje się, że...

View Article

Masowe hacki WordPressa – przejęte również polskie serwisy

Parę dni temu wspominaliśmy o podatności w WordPressie 4.7.0 / 4.7.1 umożliwiającej m.in. podmianę zawartości postów. Obecnie trwają zautomatyzowane kampanie atakujące podatne instancje. Wg Sucuri...

View Article


Już ~1,5 miliona stron przejętych – critical w WordPress. Do akcji wkracza...

Niedawno pisaliśmy o podatności wprowadzonej w wersji 4.7.0 WordPressa. Później było o kampaniach wykorzystujących ten błąd (ofiarą są również serwisy z Polski). Obecnie pojedyncze kampanie przybrały...

View Article

Blog o bezpieczeństwie TrendMicro… hacknięty

Wg serwisu Silicon tym razem był to … wielokrotnie wspominany w ostatnich dniach na sekuraku problem z WordPressem 4.7.0/4.7.1. Silicon zaznacza, że Rik Ferguson z Trend Micro potwierdził incydent i...

View Article

SQL injection wiecznie żywy: plugin WordPress z 1 000 000+ instalacji

W 2017 roku SQL injection wcale nie chce zniknąć. Tym razem firma Sucuri zlokalizowała tego typu podatność (nie wymagającą uwierzytelnienia) w popularnym pluginie do WordPressa –  NextGEN Gallery. Dla...

View Article


WordPress: możliwość resetu hasła dowolnemu użytkownikowi

Teoretycznie podatne są wszystkie WordPressy – aż do najnowszego 4.7.4. Czy panikować? Nie. Raczej poczytać dokładnie oryginalny research + skrót poniżej. W praktyce mamy parę warunków, które muszą być...

View Article


Jak zabezpieczyć WordPress – poradnik krok po kroku

Decyzja o tym, jakie oprogramowanie wykorzystamy w wybranym celu, często podejmowana jest na podstawie analizy czasu potrzebnego na jego wdrożenie oraz sumarycznej ilości funkcji, jakie ten system nam...

View Article

Nieprzedłużona domena, WordPress i skrypt JavaScript

Aplikacje WWW narażone są na wiele zagrożeń; czasem są to klasyczne wektory ataku znane z OWASP Top 10, innym razem okazuje się, że potencjalna luka bezpieczeństwa “aktywuje się” dopiero po jakimś...

View Article

WordPress wypuszcza aktualizację – SQL injection

Wczoraj udostępniona została aktualizacja Wordpressa (4.8.3), która po raz drugi łata problemy z SQL injection (poprzednia nieudana - jak się okazało - próba była w 4.8.2).

View Article

Plugin CAPTCHA do WordPressa (300 000 instalacji) – z backdoorem

Niepokojący opis historii darmowego pluginu do WordPressa oferowanego przez BestWebSoft (300 000 aktywnych instalacji), pierwsze miejsce w oficjalnym repozytorium WordPress – po wyszukaniu captcha....

View Article


Kampania masowych infekcji WordPressa – jest też kilka ofiar z Polski

O problemie donosi Malwarebytes. Przejęcie kontroli nad serwisem odbywa się najprawdopodobniej poprzez podatności w niezaktualizowanych pluginach. Zainfekowana strona wyświetla użytkownikom niepokojące...

View Article

0day w pluginie WordPressa do wysyłania maili

Chodzi o easy Easy WP SMTP (300 000+ instalacji)  – operacja masowego wykorzystywania luki w tym oprogramowaniu trwa w najlepsze. NinTechNet zauważył aktywne ataki na instancje WordPressa...

View Article


Ciekawa, historyczna podatność w WordPress: możliwość wypakowania pliku…...

Różne pluginy korzystają z wordpressowej funkcji unzip_file, która służy do zwykłego rozpakowywania zipów. Co może być groźnego w zwykłym rozpakowywaniu zipów? Wiele. Wyobraźmy sobie że dostajemy od...

View Article

Krytyczna podatność w bardzo popularnym pluginie WordPressa (Contact Form 7)....

O temacie informuje Bleeping Computer: In the vulnerable versions, the plugin does not remove special characters from the uploaded filename, including the control character and separators. This could...

View Article


WordPress na celowniku. Zerodium oferuje ~ $300.000 za 0-day’a (RCE 0-click)

WordPress to najpopularniejszy system zarządzania treścią na świecie. Według danych W3Techs, firmy analizującej rynek IT, w maju 2018 aż 30,7% stron na świecie pracowało, wykorzystując WordPressa.  Na...

View Article

WordPress wymusił instalację aktualizacji pluginu na paru milionach...

Podatność występowała w pluginie UpdraftPlus (przeszło 3 miliony instalacji). WordPress zdecydował się na dość nietypowy krok – czyli wymuszenie aktualizacji, a wg statystyk, aktualizację zainstalowało...

View Article

Atakujący próbują właśnie przejąć ~200 000 instalacji WordPress z...

Szczegóły podatności dostępne są tutaj: unpatched privilege escalation vulnerability being actively exploited in Ultimate Member, a WordPress plugin installed on over 200,000 sites Badacze donoszą, że...

View Article
Browsing all 21 articles
Browse latest View live