Une vulnérabilité 0-day dans le plugin TimThumb pour WordPress est actuellement activement exploitée sur Internet. Si vous gérez un site sous WordPress et ne pensez ne pas être concerné, réfléchissez-y à deux fois : TimThumb est packagé avec de très nombreux thèmes et plugins pour WordPress.

Afin de savoir si TimThumb est installé chez vous, il vous faudra le recherche en ligne de commande, avec la commande find ou plus simplement locate timthumb.

Ensuite, tout dépendra de la version installée chez vous. Les plus anciennes ne sont pas vulnérables. Pour en avoir le coeur net, il vous faudra encore une fois jouer de la ligne de commande afin de rechercher dans le fichier timthumb.php de votre installation la présence de la variable $allowedSites.

Si cette dernière est présente, il faudra alors remplacer sa définition (un tableau d’adresses web externes) par un tableau vide : $allowedSites = array();
(car bien entendu, vous savez utiliser find, locate, vi, pico & cie ? Sinon que faites vous à administrer un site web ?)

Attention : il peut y avoir plusieurs versions de TimThumb sur votre système, car il peut être embarqué par plusieurs thèmes ou plugins différents ! Mieux vaut toutes les corriger, même si elles ne sont pas liées à un thème ou un plugin actif.

Une analyse détaillée de cette vulnérabilité, ainsi que quelques conseils de remédiation, peut être trouvée sur le blog de Mark Maunder.

A long terme il est conseillé de ne plus utiliser TimThumb et de le remplacer par WordThumb, une réécriture complète réalisée par le même Mark Maunder afin d’en renforcer la sécurité (l’original ne brillait manifestement pas par ses bonnes pratiques de développement sécurisé). Vous pouvez le télécharger sur Google Code.

WordThumb est rétro-compatible avec TimThumb, donc il doit être possible de remplacer l’un par l’autre sans ne rien changer par ailleurs.