Tag: plugin

0day w pluginie WordPressa do wysyłania maili

21 marca 2019, 15:05 | W biegu | 1 komentarz

Chodzi o easy Easy WP SMTP (300 000+ instalacji)  – operacja masowego wykorzystywania luki w tym oprogramowaniu trwa w najlepsze. NinTechNet zauważył aktywne ataki na instancje WordPressa wykorzystujące plugin, po czym poinformował twórcę pluginu. Patch już jest dostępny: We reported the vulnerability to the authors and the wordpress.org team on…

Czytaj dalej »

jQuery upload plugin – łatwy sposób na przejmowanie całych serwerów

22 października 2018, 12:26 | W biegu | 1 komentarz

Jak wiemy mechanizmy uploadu to jedno z najniebezpieczniejszych miejsc w aplikacjach. Czasem po prostu wystarczy wgrać webshella (dającego już dostęp na poziomie systemu operacyjnego), czasem trzeba się bardziej namęczyć – np. przygotowując odpowiedniego zip-a. Ten pierwszy wariant był cały czas możliwy w popularnym pluginie jQuery File Upload (podatny jest kod po…

Czytaj dalej »

Plugin CAPTCHA do WordPressa (300 000 instalacji) – z backdoorem

20 grudnia 2017, 19:00 | W biegu | 1 komentarz

Niepokojący opis historii darmowego pluginu do WordPressa oferowanego przez BestWebSoft (300 000 aktywnych instalacji), pierwsze miejsce w oficjalnym repozytorium WordPress – po wyszukaniu captcha. Plugin został przekazany (sprzedany?) pod opiekę innej firmie (domena simplywordpress[]net), która uruchomiła aktualizację, umożliwiającą instalację backdoora. Backdoor dogrywany był w aktualizacji plugina, a sama aktualizacja dociągała plik…

Czytaj dalej »