Gisteren is een nieuwe kwetsbaarheid in het php-script TimThumb aan het licht gekomen. TimThumb is een script wat plaatjes resized en wordt gebruikt in veel WordPress thema’s en plugins.
Met deze kwetsbaarheid is het mogelijk om commando’s op de server uit te voeren waarmee bestanden bijvoorbeeld verwijderd kunnen worden. De kwetsbaarheid zit in het onderdeel ‘WebShot’ wat gelukkig standaard uitstaat. Als WebShot uit staat loop je geen risico:
define (‘WEBSHOT_ENABLED’, false);
Wij hebben alle WordPress sites van onze klanten nagelopen en gelukkig bleek geen van onze klanten WebShot aan te hebben staan.
Wij raden onze klanten echter aan om het gebruikt van TimThumb indien mogelijk uit te faseren, dit script heeft een bedenkelijke reputatie op het gebied van veiligheid. Thema’s van ‘Themify’ bevatten TimThumb, net als de veelgebruikte plugin ‘WordPress Gallery Plugin’.
Weten hoe je een thema kiest dat minder kwetsbaar is én voldoet aan jouw wensen? Download dan onze gratis whitepaper over het kiezen van een WordPress thema.
Reactie achterlaten