مشكل امنيتی zero-day در ابزار تصوير wordpress

مشكل امنيتی zero-day در ابزار تصوير wordpress

تاریخ ایجاد

شماره: IRCNE2011081206
تاريخ: 12/5/90

اگرچه برخي اصلاحيه ها بر روي آخرين نسخه وردپرس اعمال شده اند، اما هكرها در حال سوء استفاده از يك مشكل در ابزار تغيير اندازه تصوير به نام TimThumb هستند كه اين ابزار به طور گسترده در بسياري از تم ها براي پلت فرم وبلاگ نويسي وردپرس استفاده مي شود.
ابزار TimThumb به طور ذاتي ناامن است، زيرا زماني كه يك تصوير را بازيابي مي كند و اندازه آن را تغيير مي دهد، فايل ها را در يك دايركتوري مي نويسد و اين دايركتوري براي افرادي كه وب سايت را مشاهده مي كنند قابل دسترسي است. يك مهاجم مي تواند بوسيله كشف كردن چگونگي دسترسي به Tim Thumb از سايت سوء استفاده كند و يك فايل PHP مخرب را در دايركتوري وردپرس قرار دهد. اگر مهاجم از طريق يك مرورگر وب به فايل دسترسي داشته باشد، مي تواند كد را اجرا كند.
مارك مندر توضيح داد كه چگونه مي توان قابليت بارگذاري تصاوير از سايت هاي خارجي توسط ابزار TimThumb را غير فعال ساخت. ولي اضافه كرد مطمئن ترين راه براي جلوگيري از اين مشكل، حذف كردن ابزار TimThumb يا محدود كردن دسترسي آن به وب سايت هاي ديگر است. گذشته از آن، كاربران بايد TimThumb را به آخرين نسخه آن به روز رساني كنند.

برچسب‌ها