Timthumb: Lücke in Addon von Wordpress entdeckt

Logo, Wordpress, Markenzeichen Bildquelle: Wordpress
In der Wordpress-Erweiterung Timthumb zur Größenänderung von Bildern wurde eine kritische Schwachstelle ausfindig gemacht. Die Erweiterung kommt bei zahlreichen gängigen Wordpress-Themes zum Einsatz. Mark Maunder schreibt auf seinem Blog, der kürzlich genau dieser Problematik zum Opfer fiel, dass ein Angreifer durch das erfolgreiche Ausnutzen der zugrundeliegenden Schwachstelle möglicherweise sogar den ganzen Server unter seine Kontrolle bringen könnte.

Technisch gesehen steht die Problematik im Zusammenhang mit der Verarbeitung von Dateien aus externen Quellen. Die Nutzer der besagten Erweiterung müssen die URLs im Vorfeld zu einer Whitelist hinzufügen. Allerdings werden die Adressen nur unzureichend geprüft.

An welcher Stelle der Name eines Angebots bei den eingegebenen URLs steht, spielt offenbar keine Rolle. So würde der Aufruf einer Domain namens flickr.com.eineanderewebseite.de/evilscript.php die besagte PHP-Datei tatsächlich auf den Server laden, wenn flickr.com auf der Whitelist steht. Abgelegt wird das File in einem öffentlich zugänglichen Verzeichnis.

Der Entwickler dieser Addon würde sich gerne mehr Hilfe aus den Kreisen der Community wünschen, wenn es um die Absicherung des Scripts geht. Im zugehörigen Repository hat man die Schwachstelle bereits aus der Welt geschafft. In diesem Zusammenhang wurde man allerdings auf andere Probleme aufmerksam. Logo, Wordpress, Markenzeichen Logo, Wordpress, Markenzeichen Wordpress
Diese Nachricht empfehlen
Kommentieren3
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 17:30 Uhr LG 60 Zoll Fernseher (Ultra HD, Triple Tuner, 3D, Smart TV)
LG 60 Zoll Fernseher (Ultra HD, Triple Tuner, 3D, Smart TV)
Original Amazon-Preis
2.049,98
Im Preisvergleich ab
?
Blitzangebot-Preis
1.899,00
Ersparnis zu Amazon 0% oder 150,98
Nur bei Amazon erhältlich

Video-Empfehlungen

Tipp einsenden