1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

[Sammelthread] WordPress Plugin SQL Injections

Dieses Thema im Forum "Allgemeines" wurde erstellt von Dat Inge, 6. September 2011.

Seite 1 von 2
  1. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    Ich werde hier Lücken in verschieden Plugins posten. Grund ist einfach, um euch vor Hacks zu schützen. Ihr solltet also diese Plugins erstmal deaktivieren.

    WordPress KNR Author List Widget plugin (SQL Injection)
    http://www.1337day.com/exploits/16839
     
    #1 Dat Inge, 6. September 2011
    Zuletzt bearbeitet: 26. September 2011
  2. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Scheint auch schon aus dem offiziellen Repo geflogen zu sein.
     
    #2 mfitzen, 6. September 2011
  3. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    Auf 1337day gibts noch weitere Injection, zu einigen Plugins.
    Ich würde dazu vielleicht ein Sammelthread mach und es immer posten, weiß nur nicht, ob es hier gern gesehen ist, von der Boardleitung. Ich fände es nur gut, wenn User darüber informiert werden.
     
    #3 Dat Inge, 6. September 2011
  4. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    WordPress Eventify - Simple Events plugin <= 1.7.f SQL Injection

    http://www.1337day.com/exploits/16846
     
    #4 Dat Inge, 7. September 2011
  5. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    Tune Library plugin <= 2.17 SQL Injection Vulnerability

    Tune Library plugin <= 2.17 SQL Injection Vulnerability

    http://www.1337day.com/exploits/16880
     
    #5 Dat Inge, 10. September 2011
  6. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.346
    Zustimmungen:
    587
    Möchtest du uns jetzt eine Kopie von *jeder* WP Injection, die bei 1337day
    veröffentlicht wurde - hier ein Kopie rein hauen?

    Warum?

    reicht es nicht einen Link hier zu veröffentlichen?
     
    #6 r23, 11. September 2011
  7. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    #7 Dat Inge, 11. September 2011
  8. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    e-Commerce plugin <= 3.8.6 SQL Injection Vulnerability

    http://www.1337day.com/exploits/16910
     
    #8 Dat Inge, 14. September 2011
  9. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    Multiple Wordpress timthumb.php reuse vulnerabilities

    http://www.1337day.com/exploits/16953
     
    #9 Dat Inge, 23. September 2011
  10. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    WordPress AdRotate plugin <= 3.6.5 SQL Injection Vulnerability
    http://www.1337day.com/exploits/16968
     
    #10 Dat Inge, 24. September 2011
  11. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    CevherShare 2.0 plugin SQL Injection Vulnerability
    http://www.1337day.com/exploits/16971
     
    #11 Dat Inge, 26. September 2011
  12. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    WordPress Mingle Forum plugin <= 1.0.31 SQL Injection Vulnerability
    http://www.1337day.com/exploits/16975
     
    #12 Dat Inge, 27. September 2011
  13. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Oh nein, nicht das Mingle Forum... Der Autor arbeitet jedenfalls schon an einem Fix...
     
    #13 mfitzen, 28. September 2011
  14. Tutrix

    Tutrix Well-Known Member

    Registriert seit:
    21. Mai 2010
    Beiträge:
    3.734
    Zustimmungen:
    28
    Das scheint ja nur die Captcha-Funktion zu betreffen. Wer also ein Mingle Forum betreibt sollte bis das gefixt ist, das Forum nur für registrierte User freigeben. Also auch "Verwende Captcha für nicht registrierte Benutzer:" deaktivieren.

    Edit: 29.09.11 Fehler wurde von Paul behoben, Update auf Version: 1.0.31.2 steht zum Download bereit.
     
    #14 Tutrix, 28. September 2011
    Zuletzt bearbeitet: 29. September 2011
  15. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    Danke @Art of Pic für die Meldung.
    Genau dafür ist der Thread, denn so bekommen es mehr User/Admins/Coder mit und man kann schneller ein Fix bekommen. Glaube kaum, das sich jeder Admin auf 1337day rumtreibt. Aber fast alle sind hier im Forum.
     
    #15 Dat Inge, 2. Oktober 2011
  16. Tutrix

    Tutrix Well-Known Member

    Registriert seit:
    21. Mai 2010
    Beiträge:
    3.734
    Zustimmungen:
    28
    Ideal wäre ein Hinweis im Dashboard, das das Plugin eine Sicherheitslücke aufweist, so wie es auch für ein vorhandenes Update der Fall ist.
    Zwar werden Plugins mit Sicherheitslücken bei WP.org vorübergehend nicht mehr zu Download angeboten, nützt aber demjenigen nichts der dies bereits im Einsatz hat.
     
    #16 Tutrix, 2. Oktober 2011
  17. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    WP-SpamFree WordPress Spam Plugin SQL Injection Vulnerability

    http://www.1337day.com/exploits/17053
     
    #17 Dat Inge, 11. Oktober 2011
  18. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    WordPress GD Star Rating plugin <= 1.9.10 SQL Injection Vulnerability

    WordPress GD Star Rating plugin <= 1.9.10 SQL Injection Vulnerability

    http://www.1337day.com/exploits/17055
     
    #18 Dat Inge, 12. Oktober 2011
  19. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    WordPress wpsf-js plugin, SQL Injection

    WordPress wpsf-js plugin, SQL Injection

    http://www.1337day.com/exploits/17069
     
    #19 Dat Inge, 16. Oktober 2011
  20. Dat Inge

    Dat Inge Well-Known Member

    Registriert seit:
    21. August 2007
    Beiträge:
    250
    Zustimmungen:
    0
    WordPress Contact Form plugin <= 2.7.5 SQL Injection Vulnerability

    WordPress Contact Form plugin <= 2.7.5 SQL Injection Vulnerability

    http://www.1337day.com/exploits/17061
     
    #20 Dat Inge, 16. Oktober 2011
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
Seite 1 von 2
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden