Planeta WordPress Codzienna dawka newsów, recenzji czy poradników od polskiej społeczności WordPress!

Autorsekurak.pl

Teksty i newsy o bezpieczeństwie IT.

Krytyczna podatność w bardzo popularnym pluginie WordPressa (Contact From 7). 5+ milionów instalacji i możliwość dostania się na serwer.

O temacie informuje Bleeping Computer: In the vulnerable versions, the plugin does not remove special characters from the uploaded filename, including the control character and separators. This could potentially allow an attacker to upload a filename containing double-extensions, separated by a non-printable or special...

Ciekawa, historyczna podatność w WordPress: możliwość wypakowania pliku… gdziekolwiek (nadpisywanie plików, backdoor na serwerze)

Różne pluginy korzystają z wordpressowej funkcji unzip_file, która służy do zwykłego rozpakowywania zipów. Co może być groźnego w zwykłym rozpakowywaniu zipów? Wiele. Wyobraźmy sobie że dostajemy od kogoś archiwum zip i pracujemy z uprawnieniami admina. Rozpakowujemy zip-a i nagle mamy zabackdoorowany...

0day w pluginie WordPressa do wysyłania maili

Chodzi o easy Easy WP SMTP (300 000+ instalacji)  – operacja masowego wykorzystywania luki w tym oprogramowaniu trwa w najlepsze. NinTechNet zauważył aktywne ataki na instancje WordPressa wykorzystujące plugin, po czym poinformował twórcę pluginu. Patch już jest dostępny: We reported...

Nieprzedłużona domena, WordPress i skrypt JavaScript

Aplikacje WWW narażone są na wiele zagrożeń; czasem są to klasyczne wektory ataku znane z OWASP Top 10, innym razem okazuje się, że potencjalna luka bezpieczeństwa “aktywuje się” dopiero po jakimś czasie. Sucuri donosi o przypadku odkrycia nierozwijanej wtyczki Enmask Captcha dla CMS WordPress, która ładowała skrypt JavaScript z zewnętrznej......

Jak zabezpieczyć WordPress – poradnik krok po kroku

Decyzja o tym, jakie oprogramowanie wykorzystamy w wybranym celu, często podejmowana jest na podstawie analizy czasu potrzebnego na jego wdrożenie oraz sumarycznej ilości funkcji, jakie ten system nam dostarczy. Prawdopodobne jest jednak to, że tam, gdzie priorytetem jest wygodna i...

WordPress: możliwość resetu hasła dowolnemu użytkownikowi

Teoretycznie podatne są wszystkie WordPressy – aż do najnowszego 4.7.4. Czy panikować? Nie. Raczej poczytać dokładnie oryginalny research + skrót poniżej. W praktyce mamy parę warunków, które muszą być spełnione: WordPress w mailu resetującym hasło ustawia nagłówek From/Return-Path bazując na zmiennej SERVER_NAME. Zmienną...

Blog o bezpieczeństwie TrendMicro… hacknięty

Wg serwisu Silicon tym razem był to … wielokrotnie wspominany w ostatnich dniach na sekuraku problem z WordPressem 4.7.0/4.7.1. Silicon zaznacza, że Rik Ferguson z Trend Micro potwierdził incydent i skwitował całość tak: it goes to show how breaches are an...

Masowe hacki WordPressa – przejęte również polskie serwisy

Parę dni temu wspominaliśmy o podatności w WordPressie 4.7.0 / 4.7.1 umożliwiającej m.in. podmianę zawartości postów. Obecnie trwają zautomatyzowane kampanie atakujące podatne instancje. Wg Sucuri tylko jedna kampania, którą można namierzyć w Google wyszukując „by w4l3XzY3” miała wczoraj ~66 000 zainfekowanych...
Planeta WordPress Codzienna dawka newsów, recenzji czy poradników od polskiej społeczności WordPress!

Obserwuj nas!