Websecurity - Веб безпека

У липні, 05.07.2025, вийшли PHP 8.1.33, PHP 8.2.29, PHP 8.3.23 і PHP 8.4.10. У версії PHP 8.1.33 і 8.2.29 виправлено три уразливості, у версіях PHP 8.3.23 і 8.4.10 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.1.x, 8.2.x, 8.3.x і 8.4.x.

У PHP 8.1.33, 8.2.29, 8.3.23 і 8.4.10 виправлено:

• Численні витоки пам’яті в PHP 8.3.23 і 8.4.10.
• Уразливість у PGSQL, що не перевіряє на escaping помилки.
• Пошкодження пам’яті (NULL Pointer Dereference) у розширенні PHP SOAP через великий префікс XML Namespace.
• Null byte термінація в іменах хостів.
• Численні вибивання в PHP 8.3.23 і 8.4.10.
• Пошкодження пам’яті в PHP 8.3.23 і 8.4.10.
• Heap-buffer-overflow у SimpleXML в PHP 8.4.10.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах User Registration & Membership, PZ Frontend Manager, LearnPress, Depicter і темі XStore. Для котрих з’явилися експлоіти.

• Wordpress Theme XStore 9.3.8 - SQLi (деталі)
• WordPress User Registration & Membership Plugin 4.1.1 - Unauthenticated Privilege Escalation (деталі)
• PZ Frontend Manager WordPress Plugin 1.0.5 - Cross Site Request Forgery (CSRF) (деталі)
• LearnPress WordPress LMS Plugin 4.2.7 - SQL Injection (деталі)
• WordPress Depicter Plugin 3.6.1 - SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У лютому хакнули роботів пилосмоків DJI Romo по всьому світу.

DJI зробили бекдор в своєму пилосмоку, ще й дірявий код. Семмі Аздуфаль вирішив під’єднати свій PS5 геймпад до DJI Romo і написав код, що випадково хакнув цей бекдор. І він отримав доступ не лише до камери свого пилосмоку, але й до пристроїв по всьому світу. Всього він отримав доступ до 6700 пилосмоків у 24 країнах світу, перехопив понад 100000 пакетів даних і відкрив доступ до прямих ефірів з камер роботів.

Навіть якщо це не бекдор, щоб слідкувати за людьми та їх квартирами, а саме офіційний функціонал. Але вони не мали давати доступ до тисяч пристроїв по всьому світу, тому дірка тут безумовна. Людина підняла права від свого робота, до всіх у системі. Сам я знаходив не лише уразливості на мільйонах сайтів, але також уразливості в десятках тисяч веб додатків, IoT і мережевих пристроїв - не в пилосмоках, але в усьому іншому. Тому всі вони діряві та завжди потрібен аудит безпеки пристроїв.

Мораль така, що потрібно перевіряти код на вразливості та завжди дбати про безпеку своїх сайтів і всіх пристроїв, чим як DJI, так і всі в Україні не займаються, про що нагадую щодня з 2005. Тисячі державних сайтів були хакнуті чи інфіковані за 30 років. Всі мої дані про уразливості на сайтах за ці роки проігноровані.

У березні багато роботів пилососів Ecovacs були хакнуті в США.

Багато роботів пилососів були хакнуті в США в останні дні. Та не лише для віддаленого спостереження, але й для лайки на їхніх власників. Зокрема хакнули моделі Ecovacs Deebot X2 у різних містах. Повідомляють як про лайку через спікери роботів, так і про атаки роботів пилососів на людей та собак в будинку.

А я кілька десятків років повідомляю про дірки в усіх сайтах та IoT, але всім українцям байдуже. Завжди проводьте аудит безпеки.

В даній добірці експлоіти в веб додатках:

• Wyrestorm Apollo VX20 < 1.3.58 - Incorrect Access Control 'DoS' (деталі)
• WonderCMS 3.4.2 - Remote Code Execution (RCE) (деталі)
• Firefox ESR 115.11 - PDF.js Arbitrary JavaScript execution (деталі)
• Apache ActiveMQ 6.1.6 - Denial of Service (DOS) (деталі)
• Invision Community 5.0.6 - Remote Code Execution (RCE) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://ojs.iod.gov.ua (хакером R4iseUp) - 05.10.2025 - похаканий державний сайт
• https://school1.irpinosvita.gov.ua (хакерами з chinafans) - 13.01.2026 - похаканий державний сайт
• https://intelevraz.com.ua (хакером N4ST4R_ID) - 22.07.2024
• https://westbruk.com.ua (хакером Hunter Bajwa) - 04.08.2024
• https://apegold.com.ua (хакером Hunter Bajwa) - 04.08.2024

У березні, 08.03.2026, вийшов Perl 5.42.1. У цій версії виправлено багато багів і додані покращення. Зокрема нові оператори, лексичні методи, підтримка Unicode 16.0 та пришвидшення роботи оператора tr.

Даний реліз направлений на покращення безпеки і стабільності гілок 5.42.x.

Нагадаю, що в 2020 році було анонсовано Perl 7, який мав базуватися на Perl 5.32, але з “сучасними” налаштуваннями за замовчуванням (strict, warnings тощо). Але потім його відмінили. Perl 7 фактично перетворився на сучасний Perl 5.x.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023, дані за 14.08.2023-20.08.2023, дані за 21.08.2023-27.08.2023, дані за 28.08.2023-03.09.2023, дані за 04.09.2023-10.09.2023, дані за 11.09.2023-17.09.2023, дані за 18.09.2023-24.09.2023, дані за 30.10.2023-05.11.2023. Це нові дані.

У листопаді:

Другий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3FSGbF2.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/49rsB9r.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/47r6EW2.
Це документ російських терористів терористів https://bit.ly/469oN9K.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/46efsxA.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/47xDQLT.
Відео-розвідка: УКВ знову виявили колону російської військової техніки в Керчі https://bit.ly/40wM0BP.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3uaqff5.

У червні, 05.06.2025, вийшли PHP 8.3.22 і PHP 8.4.8. У версії PHP 8.3.22 виправлено багато багів і уразливостей, у версії PHP 8.4.8 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.22 і 8.4.8 виправлено:

• Витоки пам’яті.
• Численні вибивання.
• Витік з вибиванням на Windows.
• Численні пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

В даній добірці експлоіти в веб додатках:

• TP-Link VN020 F3v(T) TT_V6.2.1021 - Buffer Overflow Memory Corruption (деталі)
• TP-Link VN020 F3v(T) TT_V6.2.1021 - Denial Of Service (DOS) (деталі)
• Langflow 1.3.0 - Remote Code Execution (RCE) (деталі)
• OpenSSH server (sshd) 9.8p1 - Race Condition (деталі)
• Ilevia EVE X1/X5 Server 4.7.18.0.eden - Reverse Rootshell (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів, як от магазин НБУ.

• https://coins.bank.gov.ua (хакером Panataran) - 19.02.2026 - похаканий державний сайт
• https://smartgrow.com.ua (хакерами з Fallaga Team) - 29.06.2024
• https://tks.kharkov.ua (хакером omgsmok) - 10.07.2024
• https://jareck.kiev.ua (хакерами з Azzasec) - 12.07.2024
• DDoS атака на lanet.ua - 12.03.2026