Monthly Archive for Junho, 2014

Nova vulnerabilidade de segurança no TimThumb (0-day)

Foi descoberta uma grave vulnerabilidade no TimThumb 2.8.13 (e anteriores) que ainda não tem resolução sem ser a desactivação do “webshot” utilizado por alguns templates.
Considerando que já não é a primeira vez que ocorrem problemas de segurança com o TimThumb recomendamos a todos os nossos clientes que o deixem de utilizar de imediato (e apagando-o do servidor) substituindo o mesmo pela funcionalidade nativa do WordPress (the_post_thumbnail()) de criação de thumbnails sendo que para além de resolver os problemas de segurança aumentará a performance do site.
Para converter o seu template para a funcionalidade nativa do WordPress recomendamos a leitura a http://wpengineer.com/1930/the-ultimative-guide-for-the_post_thumbnail-in-wordpress-2-9/

Se utilizar um template da empresa http://themify.me/ o seu template estará vulnerável através da utilização do wordthumb (versão antiga do TimThmb) utilizada pelo ficheiro /themify/img.php presente na pasta do template.

Mais informações sobre a vulnerabilidade podem ser encontradas em  http://seclists.org/fulldisclosure/2014/Jun/117 e https://code.google.com/p/timthumb/issues/detail?id=485&thanks=485&ts=1403690188