Timthumb: Lücke in Addon von Wordpress entdeckt

In der Wordpress-Erweiterung Timthumb zur Größenänderung von Bildern wurde eine kritische Schwachstelle ausfindig gemacht. Die Erweiterung kommt bei zahlreichen gängigen Wordpress-Themes zum Einsatz. Mark Maunder schreibt auf seinem Blog, der kürzlich genau dieser Problematik zum Opfer fiel, dass ein Angreifer durch das erfolgreiche Ausnutzen der zugrundeliegenden Schwachstelle möglicherweise sogar den ganzen Server unter seine Kontrolle bringen könnte.

Technisch gesehen steht die Problematik im Zusammenhang mit der Verarbeitung von Dateien aus externen Quellen. Die Nutzer der besagten Erweiterung müssen die URLs im Vorfeld zu einer Whitelist hinzufügen. Allerdings werden die Adressen nur unzureichend geprüft.

An welcher Stelle der Name eines Angebots bei den eingegebenen URLs steht, spielt offenbar keine Rolle. So würde der Aufruf einer Domain namens flickr.com.eineanderewebseite.de/evilscript.php die besagte PHP-Datei tatsächlich auf den Server laden, wenn flickr.com auf der Whitelist steht. Abgelegt wird das File in einem öffentlich zugänglichen Verzeichnis.

Der Entwickler dieser Addon würde sich gerne mehr Hilfe aus den Kreisen der Community wünschen, wenn es um die Absicherung des Scripts geht. Im zugehörigen Repository hat man die Schwachstelle bereits aus der Welt geschafft. In diesem Zusammenhang wurde man allerdings auf andere Probleme aufmerksam. Logo, Wordpress, Markenzeichen Logo, Wordpress, Markenzeichen Wordpress
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 06:20 Uhr Pritek USB Ladestation für Mehrere Geräte 6 Port USB Multi Ladestation Handy USB Ladegerät Dockingstation für Mobiltelefon Tablet MP4 und andere USB-fähige Geräte 6 Kurze Kabel Inkl.Pritek USB Ladestation für Mehrere Geräte 6 Port USB Multi Ladestation Handy USB Ladegerät Dockingstation für Mobiltelefon Tablet MP4 und andere USB-fähige Geräte 6 Kurze Kabel Inkl.
Original Amazon-Preis
32,99
Im Preisvergleich ab
32,99
Blitzangebot-Preis
28,04
Ersparnis zu Amazon 15% oder 4,95

Video-Empfehlungen

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!