Sucuri, nome ben noto a chi si occupa di sicurezza, parla di una seria vulnerabilità su TimThumb, script per la manipolazione delle immagini utilizzato da molti temi e plugin per WordPress, ben noto in passato per analoghi problemi.
La vulnerabilità è riportata anche da Cxsecurity.com.
La vulnerabilità permetterebbe di creare, rimuovere e modificare file sul server da remoto, con tutti i rischi che ne conseguono.
Il problema riguarda l’opzione webshot, che in TimThumb è disabilitata di default, ma che temi o plugin che utilizzano questo script potrebbero aver attivata nelle loro impostazioni.
Sucuri consiglia di verificare, nei temi e plugin installati che eventualmente facessero uso di TimThumb, che l’opzione WEBSHOT_ENABLED sia impostata su false, o di impostarla in tal modo se così non fosse.
Nel dubbio, è possibile cautelarsi definendo a priori il settaggio nel file di configurazione di WordPress, aggiungendo questo parametro in wp-config.php:
define ('WEBSHOT_ENABLED', false);
Così facendo, se TimThumb fosse presente nell’installazione il parametro incriminato viene messo in condizioni di sicurezza, se invece TimThumb non c’è non accade nulla.