Durch eine sehr kritische Lücke in der WordPress-Erweiterung Timthumb können Angreifer schlimmstenfalls die Kontrolle über den Server übernehmen, so der Blogger Mark Maunder. Timthumb ist ein quelloffenes PHP-Script zur Größenänderung von Bildern, das von zahlreichen WordPress-Themes genutzt wird. Das Script läd auch Bilder von externen Domains, die man zuvor in einer Whitelist festlegen muss. Allerdings prüft das Script lediglich, ob eine erlaubte Domain in der URL enthalten ist – nicht jedoch, an welcher Stelle der Domainname steht oder ob die Domain nur eine beinhaltende Subdomain der URL ist. Natürlich (und hier ist Timthumb in bester Gesellschaft mit Joomla und Typo3-Entwicklern) wird auch nicht überprüft, ob es wirklich ein Bild und kein Schadcode ist (die Überprüfung ist -da sehr einfach- sichtlich unter der Würde der Programmierer).
Ruft ein Angreifer das Script mit dem URL-Parameter http://flickr.com.boesehackersite.tld/badscript.php auf, führt dies zu einem Whitelist-Treffer für die vertrauenswürdige Domain flickr.com. Dabei lädt das Script aber die PHP-Datei badscript.php vom Server boesehackersite.tld in sein öffentlich erreichbares Cache-Verzeichnis. Von dort aus kann die eingeschleuste PHP-Datei nun von jedermann gestartet werden. Handelt es sich bei dem Script z.B. um eine Remote Shell könnte ein Angreifer auf diesem Weg die Kontrolle über den Server gewinnen.
Unsere Empfehlung: Updaten und dann -wie es der gesunde Menschenverstand schon vorschreibt- keine Domains in die Whiteliste aufnehmen.