Arquivo timthumb.php tem falha séria que afeta diversos temas para WordPress

Há uns tempos atrás assinei a ElegantThemes, um site de temas premium para WordPress. Ontem recebi um e-mail deles informando uma vulnerabilidade encontrada num dos arquivos do tema, que era desenvolvido por terceiros. Parecia algo banal, comum em scripts php gratuitos que são distribuídos por aí. Só que a vulnerabilidade é mais grave do que parece, já que há blogs que foram “infectados” por causa desse arquivo.

O arquivo em questão é o timthumb.php, responsável por gerar miniaturas facilitando o corte e redimensionamento das imagens. Ele oferece mais flexibilidade do que o recurso nativo do WordPress, pelo menos para integração com os temas, por isso é extremamente popular – mesmo em temas gratuitos e em usos fora do WP.

A vulnerabilidade zero day dele permite que alguém adicione código nos arquivos do tema, o que fica ainda pior quando os arquivos têm permissão de escrita no servidor – configuração comum para quem gosta de editar os temas direto pelo WordPress, liberando a pasta dos mesmos para escrita ou com o famigerado chmod -R 777. O problema com o timthumb está na forma como ele lida com URLs externas, em que permitia usar imagens diretamente do Flickr, Picasa, Blogger, entre outros. Resumindo, um site com uma versão vulnerável desse arquivo pode ser usado para disseminar propagandas de terceiros, malware, ou simplesmente links para sites diversos (para conseguirem mais links, algo muito visado em SEO).

A saída é atualizar o tema se possível (se o produtor tiver lançado nova versão), ou pelo menos atualizar o timthumb.php manualmente.

O arquivo corrigido está no Google Code. Há soluções mais radicais, como uma descrita por este blogueiro que teve o site alterado. Pode ser que ele esteja com outro nome, como simplesmente thumb.php, em alguns casos vale checar pelo cabeçalho ou pesquisa de texto dentro dos arquivos.

Além da ElegantThemes várias outras produtoras de temas pagos também usam esse arquivo em seus temas, como Woo Themes, Theme Shift e Theme Lab. Se você tem ele no seu tema, corra atualizar antes que seja tarde.

Por essas e outras algumas medidas são sempre importantes, como manter as pastas do servidor protegidas contra escrita, a menos quando realmente necessário, além de manter um banco de dados para cada blog ou pelo menos usar nomes de usuário e senhas diferentes para acesso ao mysql. Numa vulnerabilidade desse tipo o “malware” pode ler o wp-config.php com o nome e senha do banco de dados, e depois fazer a festa se o usuário tiver permissões generosas por lá.