WordPress缩略图插件timthumb.php被爆严重漏洞 可被外部写入文件

timthumb.php是一个非常流行的Wordpress的缩略图脚本。通过timthumb.php这个插件脚本,博主可以方便的实现动态图像裁剪、缩放和调整。

最近,timthumb爆出了一个严重漏洞,黑客可以利用这个漏洞,上传任意恶意程序到你的网站。如果你的博客主题有使用timthumb.php,请尽快更新到修复版!自检wordpress主题是否使用timthumb.php的简单方法,博客页面有类似如下的图片地址:

http://…/timthumb.php?src=http://…/…/4013621776_fa535ccae1.jpg&h=125&w=125&zc=1

在timthumb中默认定义了一个包括 Flickr、Picasa等著名图片分享网站的白名单。黑客可以通过timthumb对这些白名单验证上的漏洞,使一些来自像“http://flickr.com.yourdomain.com”这样的域名,获取上传执行PHP代码的权限。也就是说,如果你的主题有使用timthumb.php来动态生成缩略图,黑客可以通过timthumb的这个漏洞,任意上传各种恶意程序到你的timthumb.php定义的图片缓存目录!!!

注意,timthumb.php开发者的网站已经被黑客成功的通过这种方式入侵!现在,作者已经更新了timthumb.php,修复了这个漏洞。如果你的wordpress主题有使用timthumb.php生成缩略图,请更新timthumb至最新版,修复漏洞版本地址:http://timthumb.googlecode.com/svn/trunk/timthumb.php

由于主题的更新不同于插件,相信timthumb这个漏洞将在很多大小博客中存在非常久的时间。相信我,如果你的博客存在这个漏洞,它在黑客眼里就是裸着的美女!



分享到:
版权申明

本站所有文章,除特别标明外,皆为原创。如需转载,请注明出处:

转载自:i 飞扬 分享精彩!
原文链接:WordPress缩略图插件timthumb.php被爆严重漏洞 可被外部写入文件

您的支持是我最大的动力!

  1. 啊 求助! 我用chrome访问时候说www.icatblog.com 包含 counter-wordpress.com 中的内容,我查了可能是timthumb漏洞。怎么办 把你那个网址的东西复制保存下来,替换原来的就可以吗?谢谢

    [点击回复]

    老饕 回复:

    @猫主席, 是的,作者已经修复了漏洞~但是,对于已经被黑的网站,比较麻烦,要看是否有修改你主机的文件,需要恢复。

    [点击回复]

    老饕 回复:

    @猫主席, counter-wordpress.com~~看来你已经被注入了

    [点击回复]

    猫主席 回复:

    @老饕, 啊 还有得救么。。。

    [点击回复]

    老饕 回复:

    @猫主席,要是没什么定制内容的话,导出数据,主机格式化,推倒重装吧。可以查看这篇文章的解决方案(作者是这个Bug的报告者):http://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes

    [点击回复]

    猫主席 回复:

    @老饕, 您好,我已经把这个文件上传覆盖了,是在主题文件目录的吧 麻烦您看一下 现在好没好。。现在还管用吗 谢谢

    [点击回复]

    老饕 回复:

    @猫主席, 应该没用的,它只是一个借口,黑客通过它可以获得上传文件到你的空间的权限。而上传的文件执行后,可能修改,插入任意恶意代码。你的情况是已经被黑了。到底哪里被修改了,很难说。没什么定制内容,重装最省时间(完全重装,备份数据后,通知主机商格式化空间)建议这样做。

  2. 我的缩略图我想去掉- -、还不懂怎么去掉呢。
    用的不是插件。

    [点击回复]

    老饕 回复:

    @Leyar, 额~你的主题没有使用缩略图啊!

    [点击回复]

    Leyar 回复:

    @老饕, 已经取消掉啦。。~~@@

    [点击回复]

  3. 我主题貌似木有用缩略图耶!

    [点击回复]

    老饕 回复:

    @蓝色离子, 国内除了自己DIY的,使用timthumb.php的知名主题比较有限~

    [点击回复]

  4. 反正偶不用缩略图 :lol:

    [点击回复]

    • 老饕
    • 2011年08月6日

    @新星文化, (路过 打酱油的 ) 那你就到垃圾评论里去慢慢打吧!我们还有醋要不要?

    [点击回复]

  5. 虽然在黑客眼里就算真的果着也不是美女,但还是跑去后台拿文件名搜了一下……还好还好~
    还有楼上的各位,都说了这不是插件了,你们都在想啥!把“我以后再也不敢不好好看文章就乱留言了”抄一千遍交上来!(状态显示为卫道士附体中)

    [点击回复]

    老饕 回复:

    @Google不爱我, 哈哈~~深和我意!!

    [点击回复]

  6. 由此可以看出,插件还是少用吧… :mrgreen:

    [点击回复]

    老饕 回复:

    @一苇, 这个…不是插件啊!!!

    [点击回复]

  7. 为了安全还是去下载 来更新一下。

    [点击回复]

  8. 没有这个插件,放心……

    [点击回复]

  9. 黑客们真无聊…
    没用这个插件的飘过~~

    [点击回复]

    老饕 回复:

    @whisperer, 其实这是一个脚本..script~

    [点击回复]

  10. 能用代码就不要插件了吧。

    [点击回复]

    老饕 回复:

    @阅微博客, 唉..这个是一个脚本..script~就是所谓的代码…

    [点击回复]

  1. 没有通告


无觅相关文章插件,快速提升流量