Tiện ích chỉnh cỡ ảnh trên WordPress dính lỗi zero-day

Tin tặc đang khai thác lỗi của tiện ích chỉnh sửa kích cỡ hình ảnh TimThumb, được sử dụng rộng rãi trong nền tảng blog WordPress. Một số bản sửa lỗi đã được đưa vào phiên bản TimThumb mới nhất.

Tin tặc đang khai thác lỗi hỗ trợ của tiện ích chỉnh sửa kích cỡ hình ảnh TimThumb mật khẩu , sử dụng được sử dụng rộng rãi trong nền tảng blog WordPress tốt nhất . Một số bản sửa lỗi đã nguyên nhân được đưa vào phiên bản TimThumb mới nhất.

Tiện ích chỉnh cỡ ảnh trên WordPress dính lỗi zero-day

CEO Mark Maunder mới nhất của Feedjit đã phát hiện vấn đề khi blog ở đâu tốt của mình bắt đầu tải nội dung quảng cáo (trước đó blog mới nhất của ông không có quảng cáo) nguyên nhân . Ông đã truy ra nguyên nhân là vấn đề chi tiết với thư viện "timthumb.php" trên điện thoại , cài đặt được sử dụng trong theme ông mua cho blog tính năng của mình.

TimThumb "vốn đã không an toàn" vì nó ghi các file vào một thư mục khi nó nạp ảnh và chỉnh sửa kích cỡ hình ảnh hướng dẫn , và nhanh nhất mọi người ghé thăm website đều có thể truy cập thư mục đó tổng hợp , ông Maunder viết miễn phí . Kẻ tấn công có thể làm tổn hại website bằng cách “lừa” TimThumb nạp một file PHP độc hại và đặt nó vào trong thư mục WordPress tự động . Sau đó hướng dẫn , chia sẻ nếu kẻ tấn công sử dụng trình duyệt web truy cập file giả mạo , mã vô hiệu hóa sẽ vô hiệu hóa được thực hiện.

Ông Maunder giải thích làm thế nào mẹo vặt để vô hiệu hóa khả năng nạp hình ảnh từ các website bên ngoài tài khoản của TimThumb đăng ký vay , lừa đảo nhưng cách chắc chắn nhất vô hiệu hóa để ngăn chặn vấn đề là loại bỏ TimThumb đăng ký vay hoặc hạn chế sự truy cập nguyên nhân của nó vào dịch vụ những website khác cài đặt . Bên cạnh đó kiểm tra , người dùng nên cập nhật lên phiên bản mới nhất tối ưu của TimThumb.

Ông Ben Gillbanks - nhà phát triển TimThumb - là người đầu tiên bình luận bài đăng blog tính năng của ông Maunder hay nhất . Ông Gillbanks tỏ ý nhanh nhất rất lấy làm tiếc và hy vọng không có ai gặp tính năng bất cứ điều gì quá tồi tệ như thế nào với website hướng dẫn của họ vì lỗi an toàn của mình.

Ông Gillbanks khuyến cáo danh sách mọi người nên sử dụng phiên bản TimThumb mới nhất chia sẻ để tránh bị khai thác.

4.8/5 (10 votes)

Ý kiến khách hàngPreNext