Websecurity - Веб безпека

Раніше, 09.04.2013 та 13.04.2013, я знайшов Insufficient Authentication, Information Leakage та Cross-Site Scripting уразливості на сайті idea.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Insufficient Authentication (WASC-01):

http://217.117.65.248/s4/topnames/
http://217.117.65.248/s4/queue/

Доступ до цих розділів на https://idea.privatbank.ua заборонений, але доступний на http://217.117.65.248 - якщо зайти на сайт по IP.

Information Leakage (WASC-13):

http://217.117.65.248/s4/queue/ - витік статистичної інформації.

Cross-Site Scripting (WASC-08):

http://217.117.65.248/s4/topnames/time/%3Cbody%20onload=alert(document.cookie)%3E

Та ще одна XSS уразливість на сайті через POST запит.

ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Litespeed Cache, Social Warfare, WP Publications, Simple File List, Pie Register. Для котрих з’явилися експлоіти.

• Litespeed Cache WordPress Plugin 6.3.0.1 - Privilege Escalation (деталі)
• Social Warfare WordPress Plugin 3.5.2 - Remote Code Execution (RCE) (деталі)
• WP Publications WordPress Plugin 1.2 - Stored XSS (деталі)
• Simple File List WordPress Plugin 4.2.2 - File Upload to RCE (деталі)
• Pie Register WordPress Plugin 3.7.1.4 - Authentication Bypass to RCE (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Frontend Login and Registration Blocks, User Registration & Membership, Digits, Social Warfare і в самому движку. Для котрих з’явилися експлоіти.

• WordPress Core 6.2 - Directory Traversal (деталі)
• WordPress Frontend Login and Registration Blocks Plugin 1.0.7 - Privilege Escalation (деталі)
• WordPress User Registration & Membership Plugin 4.1.2 - Authentication Bypass (деталі)
• WordPress Digits Plugin 8.4.6.1 - Authentication Bypass via OTP Bruteforcing (деталі)
• Social Warfare WordPress Plugin 3.5.2 - Remote Code Execution (RCE) (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше, 29.03.2013, я знайшов Information Leakage, Insufficient Authentication, Full path disclosure, Cross-Site Scripting та SQL Injection уразливості на сайті bonus.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Information Leakage (WASC-13):

http://217.117.65.248/s2/polls/ - витік статистичних даних.

Insufficient Authentication (WASC-01):

http://217.117.65.248/s2/polls/

Доступ до цього розділу за доменом заборонений, але відкритий при доступі по IP.

Full path disclosure (WASC-13):

Витік шляху в http://217.117.65.248/s2/polls/conveyor/graph_xml/ та в інших розділах.

Information Leakage (WASC-13):

Витік усього SQL запиту (SQL DB Structure Extraction) в 4 місцях.

Cross-Site Scripting (WASC-08):

Виявив XSS у восьми місцях.

SQL Injection (WASC-19):

Виявив критичні SQL ін’єкції в чотирьох місцях.

ПриватБанк тоді проігнорував їх та не оплатив, окрім деяких на сайті. Вони лише заплатили за SQL Injection (і ще пару), але в п’ять разів менше від максимальної ціни, хоча це критичні дірки й банк заявляв, що за такі платить максимум. Раніше вони мені лише по XSS та іншим діркам занижували оплату, а з цього сайту почали по SQLi.

Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах User Registration & Membership, PZ Frontend Manager, LearnPress, Depicter і темі XStore. Для котрих з’явилися експлоіти.

• Wordpress Theme XStore 9.3.8 - SQLi (деталі)
• WordPress User Registration & Membership Plugin 4.1.1 - Unauthenticated Privilege Escalation (деталі)
• PZ Frontend Manager WordPress Plugin 1.0.5 - Cross Site Request Forgery (CSRF) (деталі)
• LearnPress WordPress LMS Plugin 4.2.7 - SQL Injection (деталі)
• WordPress Depicter Plugin 3.6.1 - SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Alemha Watermarker, Playlist for Youtube, WP Video Playlist, Background Image Cropper і темі Travelscape. Для котрих з’явилися експлоіти.

• Wordpress Plugin Alemha Watermarker 1.3.1 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Theme Travelscape v1.0.3 - Arbitrary File Upload (деталі)
• Wordpress Plugin Playlist for Youtube 1.32 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Plugin WP Video Playlist 1.1.1 - Stored Cross-Site Scripting (XSS) (деталі)
• Wordpress Plugin Background Image Cropper v1.2 - Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше, 25.03.2013, я знайшов Full path disclosure, Information Leakage, а 27.03.2013 ще Cross-Site Scripting, Full path disclosure, Information Leakage та SQL Injection уразливості на сайті bonus.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Full path disclosure (WASC-13):

Витік шляху в http://bonus.privatbank.ua/stock/ та в інших розділах.

Information Leakage (WASC-13):

Витік усього SQL запиту (SQL DB Structure Extraction) в шести місцях.

Cross-Site Scripting (WASC-08):

Виявив XSS у чотирьох місцях.

SQL Injection (WASC-19):

Виявив критичні SQL ін’єкції в двох місцях, через які визначив СУБД.

ПриватБанк тоді проігнорував їх та не оплатив, окрім деяких на сайті. Вони лише заплатили за SQL Injection (і ще пару), але в п’ять разів менше від максимальної ціни, хоча це критичні дірки й банк заявляв, що за такі платить максимум. Раніше вони мені лише по XSS та іншим діркам занижували оплату, а з цього сайту почали по SQLi.

Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Admin Bar & Dashboard Access Control, Neontext, Duplicator, File Upload, Membership. Для котрих з’явилися експлоіти.

• WordPress Plugin Admin Bar & Dashboard Access Control Version: 1.2.8 - “Dashboard Redirect” field Stored Cross-Site Scripting (XSS) (деталі)
• Neontext Wordpress Plugin - Stored XSS (деталі)
• WordPress Plugin Duplicator < 1.5.7.1 - Unauthenticated Sensitive Data Exposure to Account Takeover (деталі)
• WordPress File Upload Plugin < 4.23.3 - Stored XSS (деталі)
• Wordpress Plugin Membership For WooCommerce < v2.1.7 - Arbitrary File Upload to Shell (Unauthenticated) (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Media Library Assistant, Sonaar Music, Augmented-Reality, Canto і темі Seotheme. Для котрих з’явилися експлоіти.

• Media Library Assistant Wordpress Plugin - RCE and LFI (деталі)
• Wordpress Sonaar Music Plugin 4.7 - Stored XSS (деталі)
• Wordpress Augmented-Reality - Remote Code Execution Unauthenticated (деталі)
• Wordpress Seotheme - Remote Code Execution Unauthenticated (деталі)
• Wordpress Plugin Canto < 3.0.5 - Remote File Inclusion (RFI) and Remote Code Execution (RCE) (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше, 24.03.2013, я знайшов Information Leakage, Insufficient Authentication та Full path disclosure уразливості на сайті idea.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Information Leakage (WASC-13):

http://217.117.65.248/s3/monitoring/report/list
http://217.117.65.248/s3/monitoring/report/list.html

Витік інформації про звіти банку, що призначені не для всіх.

Insufficient Authentication (WASC-01):

Доступ до цього розділу на https://idea.privatbank.ua заборонений, але доступний на http://217.117.65.248 - якщо зайти на сайт по IP.

А також це стосується інших ресурсів, які на idea.privatbank.ua вимагають аутентифікації.

Full path disclosure (WASC-13):

http://217.117.65.248/s3/monitoring/report/list
http://217.117.65.248/s3/monitoring/report/list.html

Тут є витік повного шляху на сервері (чотирьох скриптів) та адреси в LAN, а також наявні ще інші дірки, про які напишу окремо.

ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.