Kwetsbaarheid in TimThumb

Gisteren is een nieuwe kwetsbaarheid in het php-script TimThumb aan het licht gekomen. TimThumb is een script wat plaatjes resized en wordt gebruikt in veel WordPress thema’s en plugins.

Met deze kwetsbaarheid is het mogelijk om commando’s op de server uit te voeren waarmee bestanden bijvoorbeeld verwijderd kunnen worden. De kwetsbaarheid zit in het onderdeel ‘WebShot’ wat gelukkig standaard uitstaat. Als WebShot uit staat loop je geen risico:

define (‘WEBSHOT_ENABLED’, false);

Wij hebben alle WordPress sites van onze klanten nagelopen en gelukkig bleek geen van onze klanten WebShot aan te hebben staan.

Wij raden onze klanten echter aan om het gebruikt van TimThumb indien mogelijk uit te faseren, dit script heeft een bedenkelijke reputatie op het gebied van veiligheid. Thema’s van ‘Themify’ bevatten TimThumb, net als de veelgebruikte plugin ‘WordPress Gallery Plugin’.

Tweet about this on TwitterShare on LinkedInShare on Facebook

Reageer

(wordt niet getoond)(wordt niet getoond)
(wordt niet getoond)
* verplichte velden

Terug naar overzicht

Wij werken met:

  • rackspace_savvii
  • New Relic
  • nginx_savvii
  • Varnish
  • Mandrill
  • Freshdesk