WordPress缩略图插件timthumb.php被爆严重漏洞可被外部写入文件

发布在也说技术
, Posted by 老饕
2011, 八月 4

timthumb.php是一个非常流行的Wordpress的缩略图脚本。通过timthumb.php这个插件脚本，博主可以方便的实现动态图像裁剪、缩放和调整。

最近，timthumb爆出了一个严重漏洞，黑客可以利用这个漏洞，上传任意恶意程序到你的网站。如果你的博客主题有使用timthumb.php，请尽快更新到修复版！自检wordpress主题是否使用timthumb.php的简单方法，博客页面有类似如下的图片地址：

http://…/timthumb.php?src=http://…/…/4013621776_fa535ccae1.jpg&h=125&w=125&zc=1

在timthumb中默认定义了一个包括 Flickr、Picasa等著名图片分享网站的白名单。黑客可以通过timthumb对这些白名单验证上的漏洞，使一些来自像“http://flickr.com.yourdomain.com”这样的域名，获取上传执行PHP代码的权限。也就是说，如果你的主题有使用timthumb.php来动态生成缩略图，黑客可以通过timthumb的这个漏洞，任意上传各种恶意程序到你的timthumb.php定义的图片缓存目录！！！

注意，timthumb.php开发者的网站已经被黑客成功的通过这种方式入侵！现在，作者已经更新了timthumb.php，修复了这个漏洞。如果你的wordpress主题有使用timthumb.php生成缩略图，请更新timthumb至最新版，修复漏洞版本地址：http://timthumb.googlecode.com/svn/trunk/timthumb.php

由于主题的更新不同于插件，相信timthumb这个漏洞将在很多大小博客中存在非常久的时间。相信我，如果你的博客存在这个漏洞，它在黑客眼里就是裸着的美女！

分享到：

版权申明

本站所有文章，除特别标明外，皆为原创。如需转载，请注明出处:

转载自：i 飞扬分享精彩！
原文链接：WordPress缩略图插件timthumb.php被爆严重漏洞可被外部写入文件

您的支持是我最大的动力！

新浪微博知乎豆瓣 Twitter

About me 订阅关注本博

timthumb漏洞修复文件 . WordPress . wordPress缩略图插件timthumb

- 猫主席
- 2011年08月23日
- 回复
- 引用
啊求助！我用chrome访问时候说www.icatblog.com 包含 counter-wordpress.com 中的内容，我查了可能是timthumb漏洞。怎么办把你那个网址的东西复制保存下来，替换原来的就可以吗？谢谢
[点击回复]

老饕回复:
八月 23rd, 2011 at 11:18 下午
@猫主席, 是的，作者已经修复了漏洞~但是，对于已经被黑的网站，比较麻烦，要看是否有修改你主机的文件，需要恢复。
[点击回复]

老饕回复:
八月 24th, 2011 at 11:37 上午
@猫主席, counter-wordpress.com~~看来你已经被注入了
[点击回复]

猫主席回复:
八月 24th, 2011 at 3:37 下午
@老饕, 啊还有得救么。。。
[点击回复]

老饕回复:
八月 24th, 2011 at 9:57 下午
@猫主席,要是没什么定制内容的话，导出数据，主机格式化，推倒重装吧。可以查看这篇文章的解决方案（作者是这个Bug的报告者）：http://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes
[点击回复]

猫主席回复:
八月 25th, 2011 at 3:14 下午
@老饕, 您好，我已经把这个文件上传覆盖了，是在主题文件目录的吧麻烦您看一下现在好没好。。现在还管用吗谢谢
[点击回复]

老饕回复:
八月 25th, 2011 at 9:43 下午
@猫主席, 应该没用的，它只是一个借口，黑客通过它可以获得上传文件到你的空间的权限。而上传的文件执行后，可能修改，插入任意恶意代码。你的情况是已经被黑了。到底哪里被修改了，很难说。没什么定制内容，重装最省时间（完全重装，备份数据后，通知主机商格式化空间）建议这样做。
- Leyar
- 2011年08月9日
- 回复
- 引用
我的缩略图我想去掉- -、还不懂怎么去掉呢。
用的不是插件。
[点击回复]

老饕回复:
八月 10th, 2011 at 12:00 下午
@Leyar, 额~你的主题没有使用缩略图啊！
[点击回复]

Leyar 回复:
八月 24th, 2011 at 12:04 上午
@老饕, 已经取消掉啦。。~~@@
[点击回复]
- 蓝色离子
- 2011年08月8日
- 回复
- 引用
我主题貌似木有用缩略图耶！
[点击回复]

老饕回复:
八月 10th, 2011 at 12:04 下午
@蓝色离子, 国内除了自己DIY的，使用timthumb.php的知名主题比较有限~
[点击回复]
- lovee
- 2011年08月7日
- 回复
- 引用
反正偶不用缩略图
[点击回复]
- 老饕
- 2011年08月6日
- 回复
- 引用
@新星文化, （路过打酱油的）那你就到垃圾评论里去慢慢打吧！我们还有醋要不要？
[点击回复]
- Google不爱我
- 2011年08月6日
- 回复
- 引用
虽然在黑客眼里就算真的果着也不是美女，但还是跑去后台拿文件名搜了一下……还好还好～
还有楼上的各位，都说了这不是插件了，你们都在想啥！把“我以后再也不敢不好好看文章就乱留言了”抄一千遍交上来！（状态显示为卫道士附体中）
[点击回复]

老饕回复:
八月 6th, 2011 at 12:35 下午
@Google不爱我, 哈哈~~深和我意！！
[点击回复]
- 一苇
- 2011年08月5日
- 回复
- 引用
由此可以看出，插件还是少用吧…
[点击回复]

老饕回复:
八月 10th, 2011 at 12:18 下午
@一苇, 这个…不是插件啊！！！
[点击回复]
- Demon
- 2011年08月5日
- 回复
- 引用
为了安全还是去下载来更新一下。
[点击回复]
- 魏星博客
- 2011年08月5日
- 回复
- 引用
没有这个插件，放心……
[点击回复]
- whisperer
- 2011年08月4日
- 回复
- 引用
黑客们真无聊…
没用这个插件的飘过~~
[点击回复]

老饕回复:
八月 10th, 2011 at 12:19 下午
@whisperer, 其实这是一个脚本..script~
[点击回复]
- 阅微博客
- 2011年08月4日
- 回复
- 引用
能用代码就不要插件了吧。
[点击回复]

老饕回复:
八月 10th, 2011 at 12:20 下午
@阅微博客, 唉..这个是一个脚本..script~就是所谓的代码…
[点击回复]