TimThumb Webshots代码漏洞

发布时间:2020-05-07

TimThumb wordpress的插件版本2.8.13发现的重大弱点,就在于它的“ Webshot “功能启用时,允许攻击者在远程网站上执行命令。

该漏洞允许攻击者远程受影响的网站上执行任意PHP代码。一旦PHP代码已经被执行,该网站很可能被破坏的攻击者想要的方式。到现在为止,没有任何可用于漏洞补丁。

“ 用一个简单的命令,攻击者可以创建,删除和修改服务器上的任何文件“安全专家说。

使用下面的命令,黑客可以创建,删除和修改服务器上的任何文件:

http://vulnerablesite.com/wp-content/plugins/pluginX/timthumb.php?webshot=1&src=http://vulnerablesite.com/$(rm$IFS/tmp/a.txt)

http://vulnerablesite.com/wp-content/plugins/pluginX/timthumb.php??webshot=1&src=http://vulnerablesite.com/$(touch$IFS/tmp/a.txt)

检查和禁用TIMTHUMB“WEBSHOT”

你的主题或插件目录找到 timthumb.php,搜索“WEBSHOT_ENABLED“

如果发现值为 true 如:(’WEBSHOT_ENABLED’,true)

请将该值设置为“false“,即(’WEBSHOT_ENABLED’,false)

大熊wordpress凭借多年的wordpress企业主题制作经验,坚持以“为用户而生的wordpress主题”为宗旨,累计为2000多家客户提供品质wordpress建站服务,得到了客户的一致好评。我们一直用心对待每一个客户,我们坚信:“善待客户,将会成为终身客户”。大熊wordpress能坚持多年,是因为我们一直诚信。我们明码标价(wordpress做网站需要多少钱),从不忽悠任何客户,我们的报价宗旨:“拒绝暴利,只保留合理的利润”。如果您有网站建设、网站改版、网站维护等方面的需求,请立即咨询右侧在线客服或拨打咨询热线:18324743309,我们会详细为你一一解答你心中的疑难。

相关文章

写给所有做网站的朋友的一封信

写给所有做网站的朋友的一封信

现在就开始执行“1+N”互联网推广和没有开始执行的人,一两天看不出任何区别; 一两个月看来差异也是微乎其微的;但在2-5年的长远时间来看的时候,你的高质量询盘不断增加,你的互联网资产已经建立完成,对手已经很难匹敌,现在你看到这段文字的时候就是最好的开始,现在就是最好的时候,马上开始“1+N”体系的整体互联网推广吧,我们和你一起,开创互联网大未来!

点击查看详情

准备开启WordPress网站建设推广?

我们相信高端漂亮的网站不应该是昂贵的,这就是wordpress对每个人都是免费的原因
wordpress建站免费入门,并提供价格合理的wordpress建站套餐。