Tag: 0day

WordPress 2.3-4.8.2 – Host Header Injection in Password Reset – FIXED

7 ottobre 2017 IT Security, Web Application Vulnerabilities, WordPress Vulnerabilities davenull 0

Ho fixato ed inviato personalmente il FIX per la vulnerabilità nota come CVE-2017-8295, che permette il reset della password dell’amministratore di un sito WordPress. Ho abbassato il livello di pubblicità del sito (ho tolto i popup) e continuerò ad abbassarli nella speranza che ci siano nuove donazioni per il lavoro che stiamo facendo. Ho inviato […]

WordPress Core <= 4.7.4 Potential Unauthorized Password Reset (0day)

18 maggio 2017 IT Security, Web Application Vulnerabilities davenull 0

Aggiornate immediatamente WordPress alla versione 4.7.5 , c’è una pericolosa vulnerabilità che permette di redirezionare la mail di recupero del vostro account su una mail malevola, consentendo quindi il recupero del link per l’impostazione della nuova password.

WordPress 4.7.4 wp-comments-post.php $comment Persistent XSS – FIXED

26 aprile 2017 IT Security, Web Application Vulnerabilities davenull 0

Vi ricordate quando vi parlai di una vulnerabilità 0day che non volevo rivelare in pubblico per via della sua pericolosità e la segnalai alla mail security@wordpress.org ? Mi riferisco a questo articolo: http://www.freenixsecurity.net/it/2017/04/22/0day-in-wordpress-4-7-4-e-versioni-precedenti/ Bene ho trovato il fix, ma va applicato a mano. E’ una Persistent XSS (Cross Site Scripting) nei commenti degli articoli e […]

0day in WordPress 4.7.4 e versioni precedenti

22 aprile 2017 IT Security, Web Application Vulnerabilities davenull 0

Con l’aiuto di nebulasit, un mio carissimo amico che si occupa anche lui di sicurezza informatica, abbiamo trovato una vulnerabilità 0day in WordPress 4.7.4 (attualmente è l’ultima versione) e tutte le versioni precedenti. La vulnerabilità è stata testata sulle versioni 4.7.3 e 4.7.4 e purtroppo funziona.