WordPress Plugin Social Media Widget by Acurax 3.2.5 - Cross-Site Request Forgery

WordPress Plugin Social Media Widget by Acurax 3.2.5 - Cross-Site Request Forgery

Плагин реализует действие AJAX `acx_asmw_saveorder`, которое вызывает функцию `acx_asmw_saveorder_callback`. Более поздняя версия не реализует никаких элементов управления анти-CSRF, что позволяет злоумышленнику выполнить атаку, которая может обновить специальный параметр плагина `social_widget_icon_array_order`.

WordPress Plugin Smart Google Code Inserter <3.5 - Обход аутентификации / SQL-инъекция

WordPress Plugin Smart Google Code Inserter <3.5 - Обход аутентификации / SQL-инъекция

Смарт-код Google Code Inserter - это плагин WordPress, который упрощает добавление кода отслеживания Google Analytics, а также проверку метатеги для веб-мастеров. На данный момент плагин загружен 34 207 раза и имеет более 9 000 активных установок.

,
Cross-Site Scripting в ImgHosting 1.5

Cross-Site Scripting в ImgHosting 1.5

ImgHosting - система хранения изображений, позволяющая загружать изображения без регистрации. Сервис идеально подходит для быстрого и надежного размещения изображений для форумов, блогов и веб-сайтов. Простой дизайн, удобные клиенты, прямые ссылки на фотографии.

,
vBulletin 5 - 'cacheTemplates' дистанционное удаление файлов без аутентификации

vBulletin 5 - 'cacheTemplates' дистанционное удаление файлов без аутентификации

Обнаружена уязвимость, которая приводит к удалению файлов и, при определенных обстоятельствах, выполнению произвольного кода, выявленного в vBulletin версии 5. vBulletin, разработанный vBulletin Solutions, Inc. на базе сервера баз данных PHP и MySQL, является широко распространенным проприетарным программным пакетом интернет-форума и поддерживает более 100 000 социальных сайтов в Интернете. Небезопасное использование unserialize () для PHP, вводимого

,
Обнаружена уязвимость обхода аутентификации в плагине WordPress Userpro < 4.9.17.1

Обнаружена уязвимость обхода аутентификации в плагине WordPress Userpro < 4.9.17.1

Плагин «userpro» уязвим к обходу аутентификации для пользователя «admin». Если сайт не использует стандартное имя пользователя «admin», уязвимость не может быть проэксплуатирована. Эксплуатация уязвимости: 1. Осуществите поиск сайта с уязвимимым плагином: Google Dork inurl:/plugins/userpro; 2. Перейдите на сайт, на котором установлен плагин «userpro»; 3. Добавьте ?up_auto_log=true к «url» уязвимого сайта http://www.targetsite.com/?up_auto_log=true; 4. Если у сайта

,