Pentestit
Компания
77,19
рейтинг
3 августа 2011 в 08:42

Разработка → Уязвимость в Wordpress темах

image

Входящая во многие wordpress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода.

В конфиге скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com) с которого ему разрешено загружать изображения.

Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-шелл на сервер используя список доверенных доменов для создания поддоменов с такими же названиями. Т.е. timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.

Уязвимость обнаружил Марк Маундер, после того, как его блог был взломан.

Пропатченный timthumb.php
Автор: @LukaSafonov
Pentestit
рейтинг 77,19
Компания прекратила активность на сайте
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Комментарии (25)

  • 0
    Спасибо, пошел обновлять свой блог.
    • +26
      Спасибо, пошел шалить, пока все остальные не обновились :-)
    • –1
      Вы еще Windows обновите на всякий случай.

      Уязвимость не в WordPress, а в скрипте изменения размеров картинок который используют некоторые создатели тем для WordPress.

      Желтая пресса рулит конечно
      1. Timthumbs никакого отношения конкретно к WordPress не имеет, это отдельный скрипт, даже не плагин для WordPress, с таким же успехом статью можно назвать «Уязвимость в темах Joomla».
      2. Timthumbs используется не более чем в 5-10% тем WordPress, по этому не думаю что правильно говорить, что он используется во многих темах.
      3. Уязвимость действительно серьезная, по этому стоит проверить, использует ли ваша тема Timthumbs, если в папке темы или подпапках есть timthumb.php скорее всего использует.
      • 0
        Втихушку проверил сайты на WordPress у себя на хостинге и вот что обнаружилось: из 142 сайтов в сумме 311 шаблонов. Из 311 шаблонов 1 подобный скрипт. Так что готов поспорить это не баг, это бэкдор от автора шаблона.
        • 0
          фрилансю, в том числе вордпрессом. В 30% случаев у клиента коммерческий шаблон с timthumb
          • 0
            подтверждаю
            $ find . -type f -name timthumb.php
            ./wp-content/plugins/tag-gallery/timthumb/timthumb.php
            ./wp-content/themes/dandelion_v2.6.3/functions/timthumb.php


            коммерческая тема Dandelion
            • 0
              плагин Tag-gallery
            • +1
              Проверил еще раз. И нашел подобный скрипт но только с другим называнием: thumb.php
  • +2
    это актуально только в том случае, если у юзеров после регистрации есть права на создание записи -> прикладывание изображений?
    • +2
      Да, как вариант можно допускать к возможности публикации только доверенных пользователей
      • 0
        благодарю
        тогда это не столь страшно
  • +6
    похоже, это кто-то раньше него заметил уязвимость, ^_^
    • 0
      Это вы сделали вывод после этих слов? :-)
      Уязвимость обнаружил Марк Маундер, после того, как его блог был взломан.
      • +3
        Да все логично ;)
        Уязвимость обнаружил ХЗ кто ;)
        А потом уже Марк Маундер ;)
  • +1
    Уязвимость уже в том, что эти файлы из папки, куда льётся всякое, можно исполнять.
    • 0
      Это естественное поведение таких скриптовых языков. Уязвимость, имхо, в том, что скрипт для работы с картинками не проверяет а картинки ли он грузит.
      • 0
        Заговолок ответа можно подделать, можно ли обмануть анализатор содержимого — не знаю.
        Options None
        Options +FollowSymLinks
        Правильный .htaccess решает.
        Вот убедитесь govorit.donetsk.ua/sites/default/files/inf.php
        Плюс нельзя сохранять файлы с расширением php.
        • 0
          Ну по заголовку ответа никто и не предлагал. Первым делом расширение, потом анализатор. а .htaccess не на всех виртхостингах доступен.
          • 0
            Ну тогда уже не знаю.
            Какие могут быть гарантии безопасности в таком случае? Я бы никаких не давал.
            • 0
              Большинство такого (всего?) софта поставляется AS IS. Но написать пару строчек кода, проверяющих можно ли картинку обработать как картинку, по-моему не сложно.
              • 0
                Да я, собственно, про .htaccess, если он не работает, то лично я гарантий безопасности не дам. Более того, я просто откажусь работать с таким хостингом. Существуют системные требования и работающий .htaccess — одно из них.
                • 0
                  У меня он нигде не работает ) nginx+php-fpm )
        • +1
          Ну вот не надо сравнивать WP и Drupal
  • 0
    Обрадовался когда нашел тут тему про это а потом огорчился. Не использую я вордпресс.

    Сегодня обнаружил что мне footer.php подправили. Вся странность в том что движок сайта свой, написанный на фреймворке Codeigniter, версии 1.6 вроде, давно писал…

    Никакой timthumb не использовал. Только встроенную библиотеку Image_lib и голый imagemagick через exec, но последний только для админских штучек (пакетной обработки фотографий), тогда как ImageLib (GD2) там где юзер может загружать свои фотки…

    Сейчас скачиваю все файлы с сервака на локалку, буду копать…

    Если есть у кого мысли, буду рад.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка