Blogueurs utilisateurs de WordPress et webmasters de blogs WP, cette annonce est pour vous !
Si votre site utilise le plugin TimThumb, une faille critique ("Zero Day") permet à des personnes mal intentionnées d’utiliser un cache (dossier de dépôt d’images retaillées en vignettes, d’où le nom de TimThumb > Thumbnails) de ce module afin d’y stocker du code dangereux. La faille provient d’une absence de gestion de droits d’écriture (CHMOD) sur ce dossier.
La faille a été corrigée et le téléchargement gratuit du générateur de vignettes (rebaptisé WordThumb, utilisable d’ailleurs indépendamment de WordPress) peut se faire à l’adresse suivante :
http://code.google.com/p/wordthumb/downloads/list
Pour ceux qui ont peur qu’un paramétrage "sur-mesure" de leur configuration actuelle de WP ne soit affecté par la correction de cette vulnérabilité (dans le cas où le nouveau script modifie d’autres fonctions), c’est la ligne 27 du script timthumb.php qu’il convient de modifier :
ligne 27 avant correction :
$allowedSites = array ( ’flickr.com’, ’picasa.com’, ’blogger.com’, ’wordpress.com’, ’img.youtube.com’, ’upload.wikimedia.org’, ) ;
ligne 27 après correction :
$allowedSites = array () ;
Bonne mise à jour aux quelques 61 millions de sites utilisant le script potentiellement vulnérable ;-)