Grave vulnerabilidad en plugin TimThumb de WordPress

Cicklow

Cicklow Seguir
Seguidores
20

Admin
Dseda
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario popular!
Suscripción a IA
Desde
30 May 2011
Mensajes
1.101
Se ha encntrado un bug muy critico y aun no parcheado en TimThumb (el plugin manejador de imagenes en WP), se recomienda encarecidamente deshabilitar este plugin o eliminarlo de su WP.
Lo que permite este bug es ejecutar comandos de linux (o en su defecto windows) desde el plugin, solo con saber la url del plugin se podria eliminar todo el WP, el host o subir virus, troyanos, etc a su server.

Vulnerables:
https://code.google.com/p/timthumb/
https://code.google.com/p/wordthumb/
https://wordpress.org/plugins/wordpress-gallery-plugin/
WordPress › IGIT Posts Slider Widget « WordPress Plugins
Todos los themes: Themify - Drag & Drop WordPress Themes

Esto son algunos que lo usan, pero hay muchos themes que lo tienen incluido para generar los thumbs de las galerías....

Si no lo quieren deshabilitar al plugin hay una solucion temporaria y efectiva, buscan el archivo timthumb.php, lo abren, buscan:
Insertar CODE, HTML o PHP: 
WEBSHOT_ENABLED
y lo colocan en false:
Insertar CODE, HTML o PHP: 
define('WEBSHOT_ENABLED', false);

Es un gran bug encontrado y miles y miles de WP son vulnerables ya que usan este plugin!!

Saludos!
 
Lopezito

Lopezito

Zeta
Diseñador
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
13 Dic 2011
Mensajes
1.515
Así supongo que le hicieron deface ayer a la web de La Campora(tienen timthumb en su theme, y actualmente lo siguen teniendo xD). :drunk:
 
Hay que estar conectado o registrado para responder aquí.
Arriba