Vai al contenuto

Check e riparazione della falla TimThumb di WordPress

panic attack symptoms
Vuoi pubblicare il tuo articolo su questo portale? Cercaci su Rankister (clicca qui) .

Aggiornato il: 13-02-2021 18:18
Se il vostro wordpress utilizza attualmente Timthumb nei giorni in cui una pesante vulnerabilità  è stata rilevata su di esso, questa notizia dovrebbe interessarvi.

Come riportato nel blog di Sucuri, tra gli altri, si tratta di una debolezza 0-day che riguarda la funzionalità  di thumbshot che permette, sotto certe condizioni, un attacco di questo tipo (dove abc.com è il vostro sito WP hosted):

Vuoi pubblicare il tuo articolo su questo portale? Cercaci su Rankister (clicca qui) . 
http://abc.com/wp-content/plugins/pluginX/timthumb.php?webshot=1&src=http://abc.com/$(rm$IFS/tmp/a.txt)
http://abc.com/wp-content/plugins/pluginX/timthumb.php??webshot=1&src=http://abc.com/$(touch$IFS/tmp/a.txt)

L’esempio mostra come sia possibile eseguire mediante un semplice browser un comando shell come rm (remove file), o crearne uno mediante touch. L’esecuzione di codice da remoto, di fatto, offre infinite possibilità  all’attaccante, neanche limitate da questi, seppur significativi già  di loro, esempio.

Ma allora siamo tutti in pericolo?

In linea di massima no, e questo dovrebbe tranquillizzarci abbastanza, visto che l’opzione webshot di TimThumb è disabilitata di default: i blog in WP a rischio sono meno di quelli che potremmo temere, quindi. Per effettuare un check sicuro della presenza di TimThumb, sucuri suggerisce di cercare nel file di timthumb (in un plugin o un tema che lo supporta) ed assicurarsi che sia presente la seguente riga:

define (‘WEBSHOT_ENABLED’, false);

Se per caso trovassimo:

define (‘WEBSHOT_ENABLED’, true);

basta sostituirlo con l’istruzione precedente (settando a false, quindi) per avere cosଠmesso “La sicura” alla nostra installazione di WordPress, quantomeno sotto questo punto di vista. In alternativa, è possibile impostare un firewall dall’esterno per proteggersi, ma in questo caso è responsabilità  dell’hosting o del gestore del vostro VPS o dedicato farlo.

Questo blog pubblica contenuti ed offre servizi free da 12 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Ti potrebbe interessare:  Macchine volanti: le guideremo mai davvero?
cyberpunk 12

Ingegnere informatico per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato. Questo sito non contiene necessariamente suggerimenti, pareri o endorsement da parte del proprietario del progetto e/o espressi a titolo personale. Per contatti clicca qui

Segui il canale Youtube @Tecnocrazia23
Leggi anche: