Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 25
Спасибо, пошел обновлять свой блог.
Спасибо, пошел шалить, пока все остальные не обновились :-)
Вы еще Windows обновите на всякий случай.
Уязвимость не в WordPress, а в скрипте изменения размеров картинок который используют некоторые создатели тем для WordPress.
Желтая пресса рулит конечно
1. Timthumbs никакого отношения конкретно к WordPress не имеет, это отдельный скрипт, даже не плагин для WordPress, с таким же успехом статью можно назвать «Уязвимость в темах Joomla».
2. Timthumbs используется не более чем в 5-10% тем WordPress, по этому не думаю что правильно говорить, что он используется во многих темах.
3. Уязвимость действительно серьезная, по этому стоит проверить, использует ли ваша тема Timthumbs, если в папке темы или подпапках есть timthumb.php скорее всего использует.
Уязвимость не в WordPress, а в скрипте изменения размеров картинок который используют некоторые создатели тем для WordPress.
Желтая пресса рулит конечно
1. Timthumbs никакого отношения конкретно к WordPress не имеет, это отдельный скрипт, даже не плагин для WordPress, с таким же успехом статью можно назвать «Уязвимость в темах Joomla».
2. Timthumbs используется не более чем в 5-10% тем WordPress, по этому не думаю что правильно говорить, что он используется во многих темах.
3. Уязвимость действительно серьезная, по этому стоит проверить, использует ли ваша тема Timthumbs, если в папке темы или подпапках есть timthumb.php скорее всего использует.
Втихушку проверил сайты на WordPress у себя на хостинге и вот что обнаружилось: из 142 сайтов в сумме 311 шаблонов. Из 311 шаблонов 1 подобный скрипт. Так что готов поспорить это не баг, это бэкдор от автора шаблона.
фрилансю, в том числе вордпрессом. В 30% случаев у клиента коммерческий шаблон с timthumb
подтверждаю
коммерческая тема Dandelion
$ find . -type f -name timthumb.php
./wp-content/plugins/tag-gallery/timthumb/timthumb.php
./wp-content/themes/dandelion_v2.6.3/functions/timthumb.phpкоммерческая тема Dandelion
плагин Tag-gallery
Проверил еще раз. И нашел подобный скрипт но только с другим называнием: thumb.php
это актуально только в том случае, если у юзеров после регистрации есть права на создание записи -> прикладывание изображений?
похоже, это кто-то раньше него заметил уязвимость, ^_^
Это естественное поведение таких скриптовых языков. Уязвимость, имхо, в том, что скрипт для работы с картинками не проверяет а картинки ли он грузит.
Обрадовался когда нашел тут тему про это а потом огорчился. Не использую я вордпресс.
Сегодня обнаружил что мне footer.php подправили. Вся странность в том что движок сайта свой, написанный на фреймворке Codeigniter, версии 1.6 вроде, давно писал…
Никакой timthumb не использовал. Только встроенную библиотеку Image_lib и голый imagemagick через exec, но последний только для админских штучек (пакетной обработки фотографий), тогда как ImageLib (GD2) там где юзер может загружать свои фотки…
Сейчас скачиваю все файлы с сервака на локалку, буду копать…
Если есть у кого мысли, буду рад.
Сегодня обнаружил что мне footer.php подправили. Вся странность в том что движок сайта свой, написанный на фреймворке Codeigniter, версии 1.6 вроде, давно писал…
Никакой timthumb не использовал. Только встроенную библиотеку Image_lib и голый imagemagick через exec, но последний только для админских штучек (пакетной обработки фотографий), тогда как ImageLib (GD2) там где юзер может загружать свои фотки…
Сейчас скачиваю все файлы с сервака на локалку, буду копать…
Если есть у кого мысли, буду рад.
Если кому интересно — snipplr.com/view/63291/my-website-was-hacked-with-this/
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость в Wordpress темах