Παρασκευή, 10 Απριλίου, 07:11
Αρχική security Ευπάθεια Zero-day επηρεάζει βοηθητικό πρόγραμμα του WordPress

Ευπάθεια Zero-day επηρεάζει βοηθητικό πρόγραμμα του WordPress

Hackers εκμεταλλεύονται μια ευπάθεια zero-day που επηρεάζει το TimThumb, ένα βοηθητικό πρόγραμμα για το μέγεθος των εικόνων που χρησιμοποιούνται ευρέως στην πλατφόρμα WordPress blogging.

Ο Mark Maunder, Διευθύνων Σύμβουλος της τεχνολογικής εταιρείας Feedjit με έδρα το Σηάτλ, ανακάλυψε την ευπάθεια μετά από μια επίθεση hacking που δέχθηκε το blog του, όπου οι κακόβουλοι χρήστες τοποθέτησαν διαφημιστικό περιεχόμενο. Μετά από αρκετή έρευνα, κατέληξε ότι το πρόβλημα βρισκόταν στο TimThumb, το οποίο χρησιμοποιεί στο blog του.

Το βοηθητικό πρόγραμμα,

βασισμένο σε PHP script που χρησιμοποιείται για την περικοπή εικόνων, τη μεγέθυνση και την αλλαγή μεγέθους εικόνων web, “είναι εγγενώς μη ασφαλές καθώς η λειτουργία του βασίζεται κυρίως στο να γράφει τα αρχεία σε έναν κατάλογο που είναι προσβάσιμος από όλους όσους επισκέπτονται την ιστοσελίδα σας,” δήλωσε χαρακτηριστικά ο Maunder.

Ως αποτέλεσμα της αδυναμίας αυτής, ο εισβολέας θα μπορούσε να ανεβάσει οποιαδήποτε αρχεία και να εκτελέσει κώδικα σε μια ιστοσελίδα χωρίς την συγκατάθεση του ιδιοκτήτη.

Η τελευταία έκδοση του βοηθητικού προγράμματος, το TimThumb 1.33, επηρεάζεται από αυτή την ευπάθεια. Ο Ben Gillbanks, ο δημιουργός του, δουλεύει ώστε να εκδώσει μια ενημέρωση κώδικα αφού και το δικό του site δέχθηκε επιτυχή επίθεση χρησιμοποιώντας την ίδια μέθοδο, είπε ο Maunder.

- Advertisement -

Έχουν ήδη κυκλοφορήσει οδηγίες για την απενεργοποίηση της δυνατότητας του εργαλείου να φορτώνει τις εικόνες από εξωτερικές τοποθεσίες, που είναι ένας τρόπος για την επίλυση του ζητήματος.

1 ΣΧΟΛΙΟ

  1. Το θέμα είναι αρκετά σοβαρό και θα πρέπει να ενημερωθεί ο κόσμος ώστε να κάνει τις απαραίτητες αλλαγές μιας και το TimThumb το χρησιμοποιούν αρκετά templates (όπως το γνωστό δωρεάν template Arras Theme).

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

loopfs: Θα μπορούσε να είναι το νέο σύστημα αρχείων του Linux;

Το Linux υποστηρίζει αρκετά συστήματα αρχείων, όπως EXT4, F2FS, Btrfs και XFS. Αυτά τα συστήματα επαρκούν όταν...

Έρευνα: Οι έφηβοι προτιμούν τα iPhones από τα κινητά Samsung

Σύμφωνα με έρευνα που διεξάγεται κάθε έξι μήνες με στόχο να καταγράψει τις συνήθειες των εφήβων, oι νέοι δεν επιλέγουν κινητά Samsung....

Bill Gates: Τα σχολεία ανοίγουν το φθινόπωρο και η οικονομία καταστρέφεται

Ο Bill Gates πιστεύει ότι τα σχολεία θα μπορέσουν να ανοίξουν το φθινόπωρο, δήλωσε σε συνέντευξή του στο Becky Quick στο CNBC.

Μουσείο Τηλεπικοινωνιών Ομίλου ΟΤΕ: Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις από το σπίτι για παιδιά 4-12 ετών και όλη την οικογένεια

Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις για παιδιά και οικογένειες, στις οποίες μπορούν συμμετάσχουν από το σπίτι, προσφέρει το Μουσείο Τηλεπικοινωνιών του Ομίλου...

Microsoft: Κυκλοφόρησε τις ενημερώσεις του Απριλίου 2020 για το Office

Η Microsoft κυκλοφόρησε τις non-security ενημερώσεις του Απριλίου 2020 για το Microsoft Office, οι οποίες περιλαμβάνουν διορθώσεις για σφάλματα καθώς και βελτιώσεις...

To νέο Cheetah mode της Τesla προσφέρει κορυφαίες επιδόσεις

Το νέο Cheetah mode στο μοντέλο Tesla S ωθεί το ηλεκτρικό αυτοκίνητο από 0 στα 100 χλμ / ώρα γρηγορότερα από ότι...

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση!

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση- Το Tails, είναι ένα live λειτουργικό σύστημα βασισμένο στο...

Windows 10 λειτουργία βοηθά στη διαγραφή άχρηστων αρχείων και apps

Τα Windows 10 θα διευκολύνουν τη διαγραφή άχρηστων αρχείων και apps, παρουσιάζοντάς τα μαζεμένα σε μια λίστα.

Cloudflare: Σταματά να χρησιμοποιεί το reCAPTCHA της Google!

Η Cloudflare ανακοίνωσε ότι θα σταματήσει να χρησιμοποιεί το reCAPTCHA της Google και θα μεταβεί σε έναν νέο πάροχο εντοπισμού bot που...

Το Google Stadia Pro προσφέρεται δωρεάν για δύο μήνες! Ώρα για video games!

Η κατάσταση που βιώνουμε το τελευταίο διάστημα λόγω κορωνοϊού, είναι μια από τις πιο δύσκολες καταστάσεις των...