EarthOnWire

WordPress plugin Ninja-forms 2.9.6 Info Disclosure exploit

We just found a new medium/low risk vulnerability on the popular wordpress plugin Ninja-forms 2.9.6 (Information Disclosure)

We provide the information of the vulnerability, and ofcourse the mitigation of it (fix)


# Exploit Title: Wordpress plugin Ninja-Forms 2.9.6 Information Disclosure
# Google Dork: 
# Date: 11 March 2015
# Exploit Author: EarthOnWire.com
# Vendor Homepage: https://ninjaforms.com/
# Software Link: http://downloads.wordpress.org/plugin/ninja-forms.zip
# Version: Ninja-Forms 2.9.6 and below
# Tested on: 
# CVE : 

Vulnerability risk level: 2/5 (Medium)

Intruders can gain sensitive information about the full path of the installed Wordpress installation and/or php server installation.

Sample errors format:
Fatal error: Class 'NF_Step_Processing' not found in /home/xxxx/public_html/xxxx/wp-content/plugins/ninja-forms/includes/admin/upgrades/convert-notifications.php on line 3
Fatal error: Call to undefined function _e() in /home/xxxx/public_html/xxxx/wp-content/plugins/ninja-forms/includes/admin/pages/system-status-html.php on line 3
Fatal error: Call to undefined function add_action() in /home/xxxx/public_html/xxxx/wp-content/plugins/ninja-forms/includes/fields/timed-submit.php on line 58
Fatal error: require_once(): Failed opening required 'ABSPATHwp-admin/includes/class-wp-list-table.php' (include_path='.:/usr/local/php53/lib:/usr/lib/php:/usr/local/lib/php') in /home/xxxx/public_html/xxxx/wp-content/plugins/ninja-forms/classes/notifications-table.php on line 24
Warning: require_once(ABSPATHwp-admin/includes/class-wp-list-table.php): failed to open stream: No such file or directory in /home/xxxx/public_html/xxxx/wp-content/plugins/ninja-forms/classes/notifications-table.php on line 24
Fatal error: require_once(): Failed opening required 'ABSPATHwp-admin/includes/class-wp-list-table.php' (include_path='.:/usr/local/php53/lib:/usr/lib/php:/usr/local/lib/php') in /home/xxxx/public_html/xxxx/wp-content/plugins/ninja-forms/classes/notifications-table.php on line 24
Fatal error: Class 'WP_Widget' not found in /home/xxxx/public_html/xxxx/wp-content/plugins/ninja-forms/includes/widget.php on line 5

Vulnerable are almost all php files inside the /wp-content/plugins/ninja-forms/includes/ folder and subfolders, and also some php files inside /wp-content/plugins/ninja-forms/classes/
example:
/wp-content/plugins/ninja-forms/includes/admin/upgrades/convert-notifications.php
/wp-content/plugins/ninja-forms/includes/admin/upgrades/convert-forms.php
/wp-content/plugins/ninja-forms/includes/admin/pages/system-status-html.php
/wp-content/plugins/ninja-forms/includes/fields/timed-submit.php
wp-content/plugins/ninja-forms/includes/fields/textbox.php
/wp-content/plugins/ninja-forms/includes/fields/tax.php
/wp-content/plugins/ninja-forms/includes/fields/spam.php
/wp-content/plugins/ninja-forms/classes/download-all-subs.php
/wp-content/plugins/ninja-forms/classes/notifications-table.php


Mitigation
==========
put .htaccess with content: php_value error_reporting 0
inside /wp-content/plugins/ninja-forms/
OR
.htaccess with content: Order deny,allow
						Deny from all
inside:
	/wp-content/plugins/ninja-forms/includes
	/wp-content/plugins/ninja-forms/classes
OR
wait for an update :)

Νέος νόμος για την κατοχύρωση του ονόματος (domain) στο διαδίκτυο.

νέα

Η ΕΕΤΤ προχώρησε πρόσφατα στην έκδοση νέου Κανονισμού για τη διαχείριση και εκχώρηση ονομάτων χώρου (domain names) με κατάληξη .gr. Οι νέες ρυθμίσεις της ΕΕΤΤ ανταποκρίνονται στις σύγχρονες ανάγκες των επιχειρήσεων και των πολιτών που διαθέτουν ή αποκτούν όνομα χώρου, αυξάνουν τις επιλογές με την προσθήκη περίπου 8.000 νέων ονομάτων χώρου και παρέχουν επιπρόσθετη προστασία από κακόβουλες πρακτικές.
Σύμφωνα με το νέο Κανονισμό της ΕΕΤΤ:
Δίνεται η δυνατότητα απόκτησης ονομάτων χώρου με 2 χαρακτήρες, όπως για παράδειγμα aa.gr και aa.com.gr.
Ενισχύεται η ασφάλεια, καθώς αλλαγές σε στοιχεία που διασφαλίζουν την καλή λειτουργία του ονόματος χώρου πραγματοποιούνται πλέον αποκλειστικά από τον κάτοχο και όχι από τον καταχωρητή.
Για τα ονόματα χώρου με ελληνικούς χαρακτήρες, διαφοροποιείται πλέον ο χαρακτήρας [ς] από τον αλφαριθμητικό ελληνικό χαρακτήρα [σ].
Για τη βέλτιστη λειτουργία του μητρώου ονομάτων χώρου, επιβάλλεται στους καταχωρητές η υποχρεωτική τήρηση του ορίου των 400 δηλώσεων καταχώρησης εντός συγκεκριμένου χρονικού διαστήματος.
Ο Κανονισμός θα τεθεί σε ισχύ σταδιακά εντός των επόμενων 8 μηνών. Ειδικότερα, η εκχώρηση ονομάτων χώρου με 2 χαρακτήρες θα ισχύει από τις 4 Μαΐου 2015 και ώρα 10:00 π.μ.
Υπενθυμίζεται ότι η ΕΕΤΤ, κατά την απόκτηση ονόματος χώρου με κατάληξη .gr, προσφέρει ήδη υπηρεσίες για:
Επίλυση διαφορών σε περιπτώσεις διεκδίκησης ονόματος χώρου όπως π.χ., κατοχή εμπορικού σήματος.
Διατήρηση της ίδιας ηλεκτρονικής διεύθυνσης ακόμα και σε περίπτωση αλλαγής της εταιρίας παροχής υπηρεσιών Internet.
Απόκτηση ονόματος χώρου και με ελληνικούς χαρακτήρες όπως π.χ., «τοονομαμου.gr».

Πηγή : http://www.enallaxnews.gr

Η απόφαση από την Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδροµείων (ΕΕΤΤ):  http://www.eett.gr/opencms/export/sites/default/admin/downloads/telec/apofaseis_eett/kanonistikes_apofaseis_eett/AP750-002.pdf

Ο ιός που κλειδώνει τον υπολογιστή.

Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος ενημερώνει τους πολίτες, τις εταιρείες και τις επιχειρήσεις, για δύο περιπτώσεις κακόβουλων συμπεριφορών, που διαπράττονται μέσω του διαδικτύου.
Αφορούν σε διασπορά κακόβουλου λογισμικού τύπου «Crypto - Locker » καθώς και σε απάτες σε βάρος εταιρειών, με απατηλή δρομολόγηση πληρωμών σε τραπεζικούς λογαριασμούς τρίτων προσώπων.
Στην πρώτη περίπτωση, το κακόβουλο λογισμικό κλειδώνει – κρυπτογραφεί τα ψηφιακά αρχεία και δεδομένα που είναι αποθηκευμένα στον ηλεκτρονικό υπολογιστή του χρήστη.
Στη δεύτερη περίπτωση, οι δράστες προβαίνουν μέσω ηλεκτρονικού ταχυδρομείου στην απατηλή δρομολόγηση πληρωμών σε τραπεζικούς λογαριασμούς τρίτων και όχι των πραγματικών δικαιούχων.
Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας, ενημερώνει τους πολίτες καθώς και τις εταιρίες και επιχειρήσεις για δύο κακόβουλες συμπεριφορές, που διαπράττονται με μεγάλη συχνότητα μέσω του διαδικτύου.
Η πρώτη περίπτωση αφορά στη διάδοση κακόβουλου λογισμικού, τύπου «Crypto- Locker » , το οποίο εξαπλώνεται – μεταδίδεται κυρίως, μέσω «μολυσμένων» μηνυμάτων ηλεκτρονικού ταχυδρομείου (e-mail), αλλά και μέσω «επισφαλών» ιστοσελίδων.
Το κακόβουλο λογισμικό στοχεύει στην καταβολή χρηματικών ποσών ως «λύτρων», προκειμένου να ξεκλειδωθούν - αποκρυπτογραφηθούν τα ψηφιακά αρχεία και δεδομένα, τα οποία είναι αποθηκευμένα στον ηλεκτρονικό υπολογιστή του χρήστη, που έχει μολυνθεί από τον ιό. Επίσης δύναται να επηρεάσει όλες τις εκδόσεις του λειτουργικού συστήματος «Windows» (σχετικό το από 22/12/2014 Δελτίο Τύπου του Αρχηγείου της Ελληνικής Αστυνομίας).
Παρακαλούνται οι χρήστες να είναι ιδιαίτερα προσεκτικοί και να λαμβάνουν μέτρα ψηφιακής προστασίας και ασφάλειας για την αποφυγή προσβολής από το προαναφερόμενο κακόβουλο λογισμικό και συγκεκριμένα:

Πολίτες
Οι πολίτες που λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς ή άγνωστη προέλευση, να μην «ανοίγουν» τους συνδέσμους (links) και να μην «κατεβάζουν» τα συνημμένα αρχεία, που περιέχονται σε αυτά, για τα οποία δεν γνωρίζουν με βεβαιότητα ούτε τον αποστολέα ούτε το περιεχόμενο του συνημμένου αρχείου,
- να πληκτρολογούν τις διευθύνσεις των ιστοσελίδων (URL) απευθείας στον περιηγητή (browser) και να μην χρησιμοποιούν τους προτεινόμενους υπερσυνδέσμους (links),
- να χρησιμοποιούν γνήσια λογισμικά προγράμματα και να τα ενημερώνουν τακτικά (updates), ενώ θα πρέπει να υπάρχει πάντα ενημερωμένο πρόγραμμα προστασίας ( antivirus ) του ηλεκτρονικού υπολογιστή,
- να ελέγχουν και να έχουν πάντοτε ενημερωμένη την έκδοση του λειτουργικού τους συστήματος και
- να δημιουργούν καθημερινά αντίγραφα ασφαλείας των αρχείων της συσκευής τους (backup), σε εξωτερικό μέσο αποθήκευσης, έτσι ώστε σε περίπτωση «προσβολής» από το κακόβουλο λογισμικό, να είναι δυνατή η αποκατάσταση των αρχείων τους.
Η δεύτερη περίπτωση αφορά σε υποθέσεις απάτης, σε βάρος εταιρειών και επιχειρήσεων που εδρεύουν στη Χώρα μας και δραστηριοποιούνται εμπορικά, τόσο στην Ελλάδα, όσο και το εξωτερικό, με απατηλή δρομολόγηση πληρωμών σε τραπεζικούς λογαριασμούς τρίτων και όχι των πραγματικών δικαιούχων.
Ειδικότερα, τρίτα πρόσωπα διεισδύουν ηλεκτρονικά (C racking ) στα e-mail εμπορικών εταιρειών και υποκλέπτουν την ηλεκτρονική αλληλογραφία τους, αποσκοπώντας στον εντοπισμό ηλεκτρονικών εμπορικών συναλλαγών.
Κατόπιν, αφού υφαρπάξουν τα στοιχεία των εμπορικών συναλλαγών, ενημερώνουν, μέσω απατηλών e-mails, την εταιρεία που πρόκειται να εμβάσει οφειλόμενο χρηματικό ποσό σε τραπεζικό λογαριασμό συνεργαζόμενης εταιρείας, ότι πρέπει τα χρήματα να κατατεθούν σε διαφορετικό λογαριασμό, από εκείνο που μέχρι πρότινος συναλλασσόταν, λόγω αλλαγής του.
Το αποτέλεσμα είναι, η εταιρεία στην οποία υπάρχει η χρηματική οφειλή και για την οποία έγινε το τραπεζικό έμβασμα, να μην λάβει ποτέ το χρηματικό ποσό.

Εμπορικές εταιρείες
Οι εμπορικές εταιρείες για να μπορέσουν να διασφαλίσουν τα ψηφιακά δεδομένα τους, αλλά και να προστατεύσουν τις τραπεζικές συναλλαγές τους καλούνται να εντείνουν την προσοχή τους στις διαδικασίες πληρωμών που γίνονται μέσω των Τραπεζικών Ιδρυμάτων και να τηρούν τις ακόλουθες διαδικασίες:
- να επαληθεύουν συνεχώς την ορθή διεύθυνση ηλεκτρονικού ταχυδρομείου των εταιρειών – επιχειρήσεων, με τις οποίες πραγματοποιείται η επικοινωνία για επικείμενες συναλλαγές,
σε περίπτωση που απαιτείται αποστολή χρημάτων με οποιονδήποτε τρόπο, θα πρέπει - - να πραγματοποιούν επαλήθευση των στοιχείων αποστολής και με άλλο τρόπο, πλην του ηλεκτρονικού ταχυδρομείου (τηλέφωνο, διαδικτυακή συνομιλία κτλ),
- να επαληθεύουν τις συναλλαγές απευθείας με τους τραπεζικούς οργανισμούς, στους οποίους πρόκειται να γίνει η μεταφορά των χρημάτων,
- να τηρούν δεύτερο ή επιπρόσθετο κωδικό ασφαλείας κατά την διαχείριση των λογαριασμών ηλεκτρονικών ταχυδρομείων, που λαμβάνουν – αποστέλλουν ευαίσθητα ή τραπεζικά δεδομένα,
- να ενημερώνουν συνεχώς τα προγράμματα προστασίας και ασφάλειας των πληροφοριακών συστημάτων και τέλος
- οι αρμόδιοι υπάλληλοι να είναι ιδιαίτερα προσεκτικοί στις διαδικασίες πληρωμών, μέσω των Τραπεζικών Ιδρυμάτων.
Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας παρακολουθεί την εξέλιξη των κακόβουλων αυτών συμπεριφορών και παρεμβαίνει άμεσα σε κάθε περίπτωση σχετικής καταγγελίας ή ενημέρωσης.
Υπενθυμίζεται ότι για ανάλογα περιστατικά, οι πολίτες, οι εταιρείες και οι επιχειρήσεις μπορούν να επικοινωνούν με την Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος στα ακόλουθα στοιχεία επικοινωνίας:
- Τηλεφωνικά στο 111 88
- Με μήνυμα ηλεκτρονικού ταχυδρομείου (e-mail) στο: This email address is being protected from spambots. You need JavaScript enabled to view it.
- Μέσω της εφαρμογής (application) για έξυπνα τηλέφωνα (smartphones) με λειτουργικό σύστημα ios-android: CYBERKID

Πηγή http://www.newsit.gr/

Google: Tι αναζήτησαν οι χρήστες του Διαδικτύου το 2014 παγκοσμίως!


Google: Δείτε τι αναζήτησαν οι χρήστες του Διαδικτύου το 2014 παγκοσμίως

Η Google έδωσε στη δημοσιότητα τα στοιχεία αναζητήσεων για το 2014. Σύμφωνα με αυτά, στις αναζητήσεις των χρηστών, κυριάρχησε ο θάνατος του Ρόμπιν Γουίλιαμς, οι αναζητήσεις για τον οποίον ξεπέρασαν ακόμη κι αυτές για το Παγκόσμιο Κύπελλο της Βραζιλίας. Στην τρίτη θέση βρέθηκε ο Έμπολα και ακολούθησαν η Malayisian Airlines και το Ice Bucket Challenge.
Δείτε την πρώτη δεκάδα
1. Ρόμπιν Γουίλιαμς
2. Παγκόσμιο Κύπελλο
3. Έμπολα
4. Malayisian Airlines
5. Ice Bucket Challenge
6. Flappy Bird
7. Κοντσίτα Βουρστ
8. ISIS
9. Frozen
10. Χειμερινοί αγώνες στο Σότσι

Στην κατηγορία των προσώπων την πρώτη θέση στις αναζητήσεις μέσα στο 2014 κατέλαβε η Τζένιφερ Λόρενς, ιδίως μετά τη διαρροή δεκάδων γυμνών φωτογραφιών της. Ακολούθησαν η Κιμ Καρντάσιαν και η ερωμένη του γάλλου Προέδρου Ζιλί Γκαγιέ.
Στα παγκόσμια νέα την πρώτη θέση έλαβε η είδηση για τον Έμπολα, τη δεύτερη η εξάπλωση των Τζιχαντιστών και την τρίτη τα αεροπορικά δυστυχήματα της Malaysian Airlines.
Πηγή: www.news.gr

Google: Δείτε τι αναζήτησαν οι
Ελληνες χρήστες του Διαδικτύου το 2014
Η Google ανακοίνωσε το Ετήσιο This Year in Search για το 2014, μία ματιά για το έτος που πέρασε, μέσα από την προοπτική και τα ενδιαφέροντα των Ελλήνων χρηστών.
Στην κορυφή των θεμάτων που έψαξαν οι περισσότεροι ήταν για τον τύμβο της Αμφίπολης, οι αυτοδιοικητικές εκλογές του 2014 και η ΝΕΡΙΤ.
Ταχύτερα αυξανόμενες αναζητήσεις στην Ελλάδα:
1. αμφίπολη
2. εκλογές 2014
3. nerit
4. eurovision 2014
5. που ψηφίζω
6. βάσεις 2014
7. mundial 2014
8. ypes
9. iphone 6
10. αποτελέσματα εκλογών
Επιπλέον, όσον αφορά στο ενδιαφέρον των Ελλήνων χρηστών για τις προσωπικότητες, τόσο σε εθνικό όσο και παγκόσμιο επίπεδο, κυριάρχησαν τα πρόσωπα, που φέτος έφυγαν από τη ζωή, όπως ο Robbin Williams και ο Σάκης Μπουλάς, ενώ ψηλά βρέθηκε ο Michael Schumacher, του οποίου η περιπέτεια απασχόλησε έντονα τη διεθνή επικαιρότητα.
Ταχύτερα αυξανόμενες προσωπικοτήτων στην Ελλάδα:
1. Robbin Williams
2. σάκης μπουλάς
3. jennifer lawrence
4. σουμάχερ

Πηγή: www.attikipress.gr

More Articles ...

x
Subscribe to Our Newsletter
Email *
First Name
Last Name