Archívum

‘Exploits’ cimkével ellátott bejegyzés

WordPress 3.3.1 többszörös biztonsági hiba

2012. január 31. Nincsenek hozzászólások

A már telepített WP-rendszereket nem érinti a most felfedezett többszörös biztonsági hibák közül a setup-config.php-re, valamint az install.php-re vonatkozó bejelentések, azonban az egyik bug a WP default sablonját érinti: a 404.php-t megtörve Javascript parancsokat tudnak a támadók az adatbázisba bejuttatni. Javítást még nem adott ki a WP fejlesztői közösség.

Categories: Biztonság Tags: , ,

WordPress Cross-Site Scripting biztonsági hiba

Indiai (etikus) hackerek Cross-Site Scripting (XSS) biztonsági hibát találtak ehét hétfőn a WordPress 3.3-as változatában, a hibát javították a 3.3.1-es kiadásban. A támadás a /wp-admin könyvtárra terjed ki, így újfent javasoljuk az IP-alapú korlátozást.

Categories: Biztonság Tags: , ,

Joomla adathalászati tevékenység – frissíteni kell!

2011. november 4. Nincsenek hozzászólások

Imént kaptuk a felszólítást a Magyar Telekom Abuse Csoportjától, miszerint az egyik Joomla weboldal adathalászati tevékenységet végez. Szokás szerint újfent nem-frissített rendszerről van szó, s a Joomla com_content modulját törték meg. A francia SFR mobilszolgáltató weboldalát másolták le, bankkártya-azonosítók megszerzésének céljából. E tevékenység bűncselekménynek minősül, így ismét megkérünk mindenkit, aki BÁRMILYEN ingyenes tartalomkezelő rendszert használ, hogy haladéktalanul végezzen biztonsági frissítést, ezen kívül ellenőrizze a Windows kliens PC biztonsági körülményeit is. Mint korábban írtuk, ezeket a nem-frissített weboldalakat le fogjuk tiltani.

Categories: Biztonság Tags: , ,

WordPress weboldalakat támadtak meg

2011. október 1. 2 hozzászólás

Az elmúlt két napban, de legfőképpen a mai nap folyamán üzemzavarok voltak az egyik webszerverünk honlap-kiszolgálásában. Mint kiderült, két, biztonsági tekintetben is ELAVULT WordPress-alapú weboldalt támadtak meg POST-metódussal Kínából, Tajvanról, Litvániából és jó pár másik országból. A különféle botnet-hálózatok figyelik a sérülékeny ingyenes CMS-ek verziószámát. Sajnos védekezni nem lehet, mivel tiltási szabály nem alkalmazható az állandóan változó IP-címek miatt. Egyetlen lehetőség maradt: a Silihost tiltani fogja mindazon weboldalakat, melyek nem naprakészek, így megkérünk minden, ingyenes CMS-t (nem csak WP-t!) használó ügyfelünket, hogy haladéktalanul szíveskedjen gondoskodni a frissítésről.

Categories: Biztonság Tags: , ,

WordPress (bővítmény) biztonsági hibák

2011. szeptember 1. Nincsenek hozzászólások
  • WordPress Facebook Promotions plugin <= 1.3.3 SQL Injection Vulnerability
  • WordPress Profiles plugin <= 2.0 RC1 SQL Injection Vulnerability
  • WordPress Evarisk plugin <= 5.1.3.6 SQL Injection Vulnerability
  • WordPress mySTAT plugin <= 2.6 SQL Injection Vulnerability
  • WordPress SH Slideshow plugin <= 3.1.4 SQL Injection Vulnerability
  • WordPress iCopyright(R) Article Tools plugin <= 1.1.4 SQL Injection
  • WordPress Advertizer plugin <= 1.0 SQL Injection Vulnerability
  • WordPress Event Registration plugin <= 5.4.3 SQL Injection
  • WordPress Crawl Rate Tracker plugin <= 2.0.2 SQL Injection Vulnerability
  • WordPress wp audio gallery playlist plugin <= 0.12 SQL Injection
  • WordPress yolink Search plugin <= 1.1.4 SQL Injection
  • WordPress PureHTML plugin <= 1.0.0 SQL Injection
  • WordPress grapefile plugin <= 1.1 Arbitrary File Upload
  • WordPress Image Gallery with Slideshow plugin <= 1.5 Multiple Vulnerabilities
  • WordPress Donation plugin <= 1.0 SQL Injection
  • WordPress WP Bannerize plugin <= 2.8.6 SQL Injection
  • WordPress SearchAutocomplete plugin <= 1.0.8 SQL Injection Vulnerability
Categories: Biztonság Tags: , ,

WordPress WP e-Commerce biztonsági hiba

2011. augusztus 4. Nincsenek hozzászólások

Biztonsági hibát fedeztek fel a WordPress WP e-Commerce modul wp-content/plugins/wp-e-commerce/wpsc-theme/wpsc-cart_widget.php cart_messages[] paraméterében. A sikeres támadáshoz a php register_globals funkciójának felkapcsolt (On) állapota szükséges.

Categories: Biztonság Tags: , ,

Joomla 1.5 com_virtuemart SQL-injekciós biztonsági hiba

2011. július 29. Nincsenek hozzászólások

SQL-injekciós biztonsági hibát fedeztek fel a Joomla 1.5 alapú, com_virtuemart webshop CMS 1.1.7 változatában. Hibajavításról nincs információ.

Categories: Biztonság Tags: , ,

Joomla! 1.6.5 és 1.6.x XSS biztonsági hiba

2011. július 21. Nincsenek hozzászólások

Közepes biztonsági besorolású XSS (Cross-Site-Scripting) biztonsági hibát fedeztek fel a Joomla! 1.6.5 és 1.6.x változataiban. A hibát javították az 1.7-es verzióban.

Categories: Biztonság Tags: , ,

WordPress 3.1.3 SQL-injekcós biztonsági hiba

Közepes biztonsági besorolású SQL-injekciós biztonsági hibát fedeztek fel a WP 3.1.3-as változatában, a hibát javították a 3.1.4-es kiadásban – érdemes frissíteni.

Categories: Biztonság Tags: , ,

Joomla – többszörös biztonsági hiba

2011. június 28. Nincsenek hozzászólások

Kritikus HTML-kód injekciós, fájl/mappa-attribútum módosítási hibát fedeztek fel a Joomla 1.x változataiban. A hibákat javították az 1.6.4-es kiadásban, a fejlesztők e verzióra javasolják a Joomla-rendszerek frissítését.

Categories: Biztonság Tags: , ,