Nuovo allarme sicurezza per TimThumb su WordPress (aggiornato)

ATTENZIONE: questo articolo è stato scritto oltre un anno fa, ed i contenuti potrebbero non essere più validi o compatibili. Sei pregato di tenerne conto, e se hai informazioni in merito di segnalarmele, grazie.

Vulnerabilità sicurezza WordPressSucuri, nome ben noto a chi si occupa di sicurezza, parla di una seria vulnerabilità su TimThumb, script per la manipolazione delle immagini utilizzato da molti temi e plugin per WordPress, ben noto in passato per analoghi problemi.

La vulnerabilità è riportata anche da Cxsecurity.com.

La vulnerabilità permetterebbe di creare, rimuovere e modificare file sul server da remoto, con tutti i rischi che ne conseguono.

Il problema riguarda l’opzione webshot, che in TimThumb è disabilitata di default, ma che temi o plugin che utilizzano questo script potrebbero aver attivata nelle loro impostazioni.

Sucuri consiglia di verificare, nei temi e plugin installati che eventualmente facessero uso di TimThumb, che l’opzione WEBSHOT_ENABLED sia impostata su false, o di impostarla in tal modo se così non fosse.

Nel dubbio, è possibile cautelarsi definendo a priori il settaggio nel file di configurazione di WordPress, aggiungendo questo parametro in wp-config.php:

define ('WEBSHOT_ENABLED', false);

Così facendo, se TimThumb fosse presente nell’installazione il parametro incriminato viene messo in condizioni di sicurezza, se invece TimThumb non c’è non accade nulla.

Tags: , , , , , ,

Nessun commento ancora.

Dubbi o suggerimenti? Lascia un commento!

I love Instagram