WordPress擴充套件TimThumb出現零時差漏洞

一位WordPress用戶Mark Maunder週一揭露其部落格遭入侵的詳細資料，顯示駭客針對一個WordPress縮圖擴充套件TimThumb進行入侵，原因是該元件使用錯誤的權限設定，導致駭客入侵網站，並在他人網站中插入廣告謀利。

Mark Maunder本身也開發WordPress擴充套件FeedJit，他發現他有一個WordPress網站無故被插入廣告，經仔細調查之後，發現駭客是利用TimThumb的權限設定問題而入侵。該套件允許從其他平台讀入資料並執行其中的指令。他透過Google搜尋TimThumb約有3900萬筆資料，臺灣地區則約有20萬筆，這代表使用該套件的網站非常多。

Mark提出臨時解決方案並通報給該套件作者Ben Gillbanks，作者目前已經釋出修正過的更新版本TimThumb 1.33，還承認自己的網站稍早也遭受相同模式入侵。（編譯/沈經）