WordPress脚本严重漏洞被曝光 可被外部写入文件

数十万WordPress用户目前似乎正遭受图像处理脚本Timthumb的威胁，这是一个相当受欢迎的第三方脚本，它可以实现动态图像裁剪、缩放 和调整，脚本的文件名是timthumb.php，该文档定义了数个可以远程提取的相册，但脚本并没有很好地验证这些域名，因此类似 “http://flickr.com.maliciousdomain.com”这样的欺骗性二三级域名也会被通过，所以黑客理论上可以用任何域名后缀 轻松仿冒，并通过缓存目录上传各种恶意程序。

目前在Google搜索这一脚本的文件名，一共返回了39万个结果，这意味着这些博客全部遭受安全漏洞的影响，所以如果您运行着WordPress和Timthumb网页模板，请尽快做出行动修补或者暂停运行。