欢迎您光临自学哈网,只为分享网络知识教程,供大家学习参考!

「自学哈网」TimThumb Webshots代码漏洞

作者 : 自学哈 本文共614个字,预计阅读时间需要2分钟 2022-11-6 共188人阅读
也想出现在这里? 联系我们

TimThumb Webshots代码漏洞

TimThumb WordPress的插件版本2.8.13发现的重大弱点,就在于它的“ Webshot “功能启用时,允许攻击者在远程网站上执行命令。

该漏洞允许攻击者远程受影响的网站上执行任意PHP代码。一旦PHP代码已经被执行,该网站很可能被破坏的攻击者想要的方式。到现在为止,没有任何可用于漏洞补丁。

“ 用一个简单的命令,攻击者可以创建,删除和修改服务器上的任何文件“安全专家说。

使用下面的命令,黑客可以创建,删除和修改服务器上的任何文件:

http://vulnerablesite.com/wp-content/plugins/pluginX/timthumb.php?webshot=1&src=http://vulnerablesite.com/$(rm$IFS/tmp/a.txt)

http://vulnerablesite.com/wp-content/plugins/pluginX/timthumb.php??webshot=1&src=http://vulnerablesite.com/$(touch$IFS/tmp/a.txt)

检查和禁用TIMTHUMB“WEBSHOT”

你的主题或插件目录找到 timthumb.php,搜索“WEBSHOT_ENABLED“

如果发现值为 true 如:(’WEBSHOT_ENABLED’,true)

请将该值设置为“false“,即(’WEBSHOT_ENABLED’,false)

本站声明:
本站所有资源来源于网络,分享目的仅供大家学习和交流!如若本站内容侵犯了原著者的合法权益,可联系邮箱976157886@qq.com进行删除。
自学哈专注于免费提供最新的分享知识、网络教程、网络技术的资源分享平台,好资源不私藏,大家一起分享!

自学哈网 » 「自学哈网」TimThumb Webshots代码漏洞
也想出现在这里? 联系我们
© 2022 Theme by - 自学哈网 & WordPress Theme. All rights reserved 浙ICP备2022016594号