Nouvelle faille découverte sur TimThumb

  • Statut : non résolu
15 sujets de 1 à 15 (sur un total de 15)
  • Auteur
    Messages
  • #539165
    Li-An
    Modérateur
    Maître WordPress
    22825 contributions

    Le script TimThumb utilisé encore par de nombreux thèmes et plugins WP a fait parler de lui il y a quelques années. Une nouvelle faille a été encore découverte aujourd’hui… Si vous savez que vous l’utilisez, attention à vous.

    WordPress Security Alert: New Zero-Day Vulnerability Discovered in TimThumb Script

    #958312
    Lumiere de Lune
    Participant
    Maître WordPress
    19385 contributions

    Je n’ai jamais compris les gens qui continuent à utiliser cette m… qui n’apporte rien par rapport aux fonctionnalités de wordpress. C’est un motif de rejet définitif pour tous les themes et plugins qui l’utilisent (parce que je me dis que si le dev est flemmard au point de continuer à l’utiliser, ça présage mal du reste)

    Les seuls cas où je le tolère : certains plugins l’utilisent dans l’admin seulement, et encore… à la condition que le site soi monoutilisateur

    #958313
    C_Lucien
    Modérateur
    Maître WordPress
    4250 contributions

    Bonjour,

    vu, merci. Je l’ai trouvé dans un plugin désactivé de mes tests locaux sous MAMP.

    #958314
    gilbert290
    Participant
    Padawan WordPress
    58 contributions

    Bonsoir,

    Dans le plugin UberMenu il y a une option “Use Timthumb”, cette option est pour moi sur off.
    Est ce que je suis tranquille par rapport aux failles de timthumb?
    Merci d’avance.

    #958315
    Li-An
    Modérateur
    Maître WordPress
    22825 contributions

    Non. Le plus prudent est de trouver le répertoire où est rangé le script et effacer tout ça. Je l’ai fait moi-même sur un plugin qui utilise TimThumb.

    #958316
    gilbert290
    Participant
    Padawan WordPress
    58 contributions

    Ok c’est fait, j’ai supprimé le dossier timthumb qui contenait le fichier tt.php, il faut juste penser à le refaire s’il y a une mise à jour.
    Merci beaucoup.

    #958317
    Li-An
    Modérateur
    Maître WordPress
    22825 contributions

    Sur un autre sujet ouvert aujourd’hui, une personne se fait véroler en passant par TimThumb… Une plaie ce truc.

    #958318
    Flobogo
    Modérateur
    Maître WordPress
    15866 contributions

    Bonjour,

    Question bête : comment fait-on pour savoir si TimThumb est utilisé dans un thème ou un plugin ? 😳
    –> on passe en revue tous les sous-dossiers du thème et des plugins pour trouver un éventuel dossier TimThumbd ? 😇

    #958319
    Lumiere de Lune
    Participant
    Maître WordPress
    19385 contributions

    ça, ou alors on regarde la tete des urls des vignettes… si timthumb est utilisé ça se voit dedans

    #958320
    Li-An
    Modérateur
    Maître WordPress
    22825 contributions

    Déjà, on lit les FAQ des thèmes qui annoncent souvent l’utilisation de TimThumb. Dans le cas cité plus haut qui date d’hier, le concepteur parlait d’un redimensionnement “intelligent” des miniatures et je suis allé regarder dans le code source du thème.

    #958321
    Johan
    Membre
    Initié WordPress
    1 contributions

    TimThumn a des failles depuis qu’il existe, il vaut mieux éviter de s’en servir.

    #958322
    Flobogo
    Modérateur
    Maître WordPress
    15866 contributions

    Merci Lumière de Lune et Li-An pour les précisions.
    En fait, je comprends que ce ne sont pas tous les plugins qui peuvent être affectés, mais seulement ceux liés aux images (+ le thème), c’est bien ça ?

    #958323
    Li-An
    Modérateur
    Maître WordPress
    22825 contributions

    TimThumb sert à fabriquer des miniatures donc il faut se méfier des plugins et des thèmes qui pourraient éventuellement avoir besoin de miniatures. Un coup dans le code source renseigne rapidement.

    #958324
    luciole135
    Participant
    Maître WordPress
    13753 contributions
    Lumière de Lune wrote:
    ça, ou alors on regarde la tete des urls des vignettes… si timthumb est utilisé ça se voit dedans

    Qu’est-ce qui est caractéristique dans l’URL des vignette qui montre l’usage de Timthumb ?
    Dans la pratique, on repère cela comment ?

    #958325
    ouistiti.net
    Participant
    Maître WordPress
    1912 contributions

    Voici déjà un peu de lecture pour les personnes intéressées …

    Lien: http://blog.combell.com/fr/2013/01/17/faille-de-securite-via-timthumb-sur-wordpress/

15 sujets de 1 à 15 (sur un total de 15)
  • Vous devez être connecté pour répondre à ce sujet.