Sucuri, nome ben noto a chi si occupa di sicurezza, parla di una seria vulnerabilitร su TimThumb, script per la manipolazione delle immagini utilizzato da molti temi e plugin per WordPress, ben noto in passato per analoghi problemi.
La vulnerabilitร รจ riportata anche da Cxsecurity.com.
La vulnerabilitร permetterebbe di creare, rimuovere e modificare file sul server da remoto, con tutti i rischi che ne conseguono.
Il problema riguarda l’opzione webshot, che in TimThumb รจ disabilitata di default, ma che temi o plugin che utilizzano questo script potrebbero aver attivata nelle loro impostazioni.
Sucuri consiglia di verificare, nei temi e plugin installati che eventualmente facessero uso di TimThumb, che l’opzione WEBSHOT_ENABLED sia impostata su false, o di impostarla in tal modo se cosรฌ non fosse.
Nel dubbio, รจ possibile cautelarsi definendo a priori il settaggio nel file di configurazione di WordPress, aggiungendo questo parametro in wp-config.php:
define ('WEBSHOT_ENABLED', false);
Cosรฌ facendo, se TimThumb fosse presente nell’installazione il parametro incriminato viene messo in condizioni di sicurezza, se invece TimThumb non c’รจ non accade nulla.
