Insufficient Authentication (WASC-01):

http://217.117.65.248/s4/topnames/
http://217.117.65.248/s4/queue/

Доступ до цих розділів на https://idea.privatbank.ua заборонений, але доступний на http://217.117.65.248 - якщо зайти на сайт по IP.

Information Leakage (WASC-13):

http://217.117.65.248/s4/queue/ - витік статистичної інформації.

Cross-Site Scripting (WASC-08):

http://217.117.65.248/s4/topnames/time/%3Cbody%20onload=alert(document.cookie)%3E

Та ще одна XSS уразливість на сайті через POST запит.

ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

У травні розробники своєї нової ШІ моделі почали консультувати банки. Anthropic will brief the Bank of England on financial cyber risks found by its AI model, Mythos. Нагадаю, що я виявив тисячі дірок у більшості банків України, лише в одному ПриватБанку декілька тисяч, але майже всі забивали. Ну, а ПБ кинув мене по виплатам за більшість дірок і він був єдиним банком, хто з 2012 року мав bug bounty програму. Про все це писав неодноразово.

Стало відомо, що Mozilla знайшла 271 уразливості в Firefox за допомогою Mythos AI, багато інших компаній теж отримали доступ до ШІ чи компанія Anthropic сама знайшла дірки в різних додатках. Але їх число величезне для короткого часу. Нещодавно вони заявили, що їхній ШІ знайшов понад 23000 уразливості в тисячі опенсорс проектів.

Нехай вони спробують знайти дірки на сайтах і додатках без доступу до коду. Тобто blackbox методом. Бо я з початку 2005 саме так усі уразливості знаходжу.

Чимало людей в травні написали про те, як Mythos швидко знаходить дірки в різному ПЗ і акцентують, що виробники не встигають виправляти дірки у власних програмах. Але проблема не лише в часі для фіксингу дір, як показує мій досвід з 2005 року. Бо понад 21 рік я знаходив дірки в численних веб додатках і на мільйонах сайтів, та майже завжди ніхто не хотів їх виправляти в Україні (в інших країнах краще). Потім за рік чи кілька років приховано виправляли, зазвичай після зламів.

• Grandstream GSD3710 1.0.11.13 - Stack Overflow (деталі)
• Microsoft Windows Server 2025 JScript Engine - Remote Code Execution (RCE) (деталі)
• ABB Cylon Aspect 3.08.04 DeploySource - Remote Code Execution (RCE) (деталі)
• Apache Tomcat 10.1.39 - Denial of Service (DoS) (деталі)
• Xlight FTP 1.1 - Denial Of Service (DOS) (деталі)

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.26 і 8.4.13 виправлено:

• Багаточисленні витоки пам’яті.
• Численні вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Був взломаний сервер української компанії TheHost. Взлом складався з одного масового дефейсу та багатьох окремих. Що відбувся частково до і після масового взлому сайтів на сервері UA-Hosting.

Всього взломали 59 сайтів на сервері TheHost (IP 176.114.0.120). Перелік сайтів можете подивитися на www.zone-h.org.

Багато сайтів були одночасно взломані хакерами з theMx0nday 27.02.2022, але більшість з них додали в базу лише в 2025 році, та потім у 2025 і 2026 роках два сайти хакерами з Chinafans. Також два десятки сайтів хакнули окремо з 20.04.2015 по 13.10.2023.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостинг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку окремих дефейсів по одному чи декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Цього разу повідомляю про уразливості в плагінах Litespeed Cache, Social Warfare, WP Publications, Simple File List, Pie Register. Для котрих з’явилися експлоіти.

• Litespeed Cache WordPress Plugin 6.3.0.1 - Privilege Escalation (деталі)
• Social Warfare WordPress Plugin 3.5.2 - Remote Code Execution (RCE) (деталі)
• WP Publications WordPress Plugin 1.2 - Stored XSS (деталі)
• Simple File List WordPress Plugin 4.2.2 - File Upload to RCE (деталі)
• Pie Register WordPress Plugin 3.7.1.4 - Authentication Bypass to RCE (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Це зробила поліція в Нідерландах і таких ботнетів за декаду було багато та регулярно їх знешкоджують. Цього року вже кілька випадків було. Лише у травні закрили цей ботнет і ще затримали в Канаді адміна іншого великого ботнету. Першим був Mirai з таких.

І мова про ботнет з IoT, що застосовувався для DDoS атак чи як проксі. Бо це не інфіковані ПК чи гаджети користувачів, а саме хакнуті мережеві пристрої. Знаходив уразливості мережеві пристрої з 2000-х років та повідомляв, але майже завжди всі виробники пристроїв це ігнорували.

Вже писав про власну роботу з 2014 року в сфері зламу пристроїв у нас та у ворожих країнах. Українські Кібер Війська захопили 260000 мережевих пристроїв. Роками нагадую, проте всім байдуже на діряві мережеві пристрої.

Дванадцять років щодня кажу всім українцям і владам про небезпеку веб камер, через які росіяни слідкують за нами, але всі завжди це ігнорують. Тому сам у 2022 році заблокував YT трансляції з наших міст.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.25 і 8.4.12 виправлено:

• Численні витоки пам’яті.
• Численні вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Тривалий час активно зламують сайти, GitHub і npm акаунти розробників, щоб поширювати шкідливе ПЗ в інсталяторах і пакетах. А про цей вектор поширення троянів я вперше написав, коли на початку 2007 хакнули сайт розробників WordPress та змінили вихідний код WP.

Ось кілька нових зламів розробників.

Сотні npm пакетів були хакнуті та поширювали malware у травні, а також у Python Package Index (PyPI) та Docker Hub. Це зветься supply chain attacks.

Хакнули черговий Docker репозитарій - Checkmarx KICS. У ньому розмістили версії з трояном, що може шифрувати та красти дані. VS Code розширення їхнє теж запускає неверіфікований віддалений код. Постійно зламують репозитарії в GitHub.

Три нові версії node-ipc npm виявилися заражені троянами. Як це вже було з багатьма npm пакетами і про нові повідомляють щодня.

Нагадаю, що масштабна кібератака на українську банківську систему в червні 2017 року також була зроблена через злам розробника банківського ПЗ.

• https://kompanievska-selrada.gov.ua (хакером Simsimi) - 15.09.2025 - похаканий державний сайт
• https://stomatology.lviv.ua (хакером Hunter Bajwa) - 20.08.2024
• https://avt-mir.com.ua та інші (всього 25 сайтів хакером Rayzky) - 04.09.2024
• https://zmj.zsmu.edu.ua (хакером L4663R666H05T) - 07.09.2024
• https://promlabchem.com.ua (хакером Panataran) - 08.09.2024