Nueva vulnerabilidad de Timthumb. ¿Preocupante?

Tweet about this on TwitterShare on Google+Share on FacebookEmail this to someonePrint this page

Se ha descubierto una nueva vulnerabilidad en el, tristemente conocido, script para generar miniaturas Timthumb. Que por cierto, también afecta a WordThumb, que es el script original que luego se terminó convirtiendo en Timthumb. Y aunque no está tan extendido, se puede encontrar también en algunos themes.

¿Deberías preocuparte?

Si bien se trata de una vulnerabilidad importante, ya que permite la ejecución de un script alojado en un sitio externo (ataque XSS), pero sólo es posible si tienes la función WebShot activada. Y esta viene desactivada de manera predeterminada, es decir, salvo que la hayas activado a propósito no eres vulnerable a este ataque aunque uses Timthumb en tu web.

La verdad es que veo difícil que alguien pueda explotar esa vulnerabilidad. He visto cientos de webs usando TimThumb para las miniaturas, pero nunca vi una que usara los WebShot. Seguro que las hay sí, pero no es lo habitual, incluso diría que la mayoría de gente no sabe ni que TimThumb podía hacer estas capturas…

De todos modos no está de más que eches un vistazo a la configuración de tu TimThumb en busca de la constate WEBSHOT_ENABLED y te asegures de que esta está en false.

Si tu theme (o algún plugin, que también los hay) usa Timthumb, quizás deberías plantearte si merece la pena seguir usando hoy día un script como este, lo mejor sería sustituirlo por las funciones estándar de WordPress para miniaturas, que han avanzado mucho desde que TimThumb se popularizó entre los creadores de themes para WordPress.

Deja un comentario

Tu dirección de email no será publicada. Campos obligatorios marcados con *