Pamiętacie potężną w skutkach dziurę w skrypcie TimThumb, która rozłożyła na łopatki lata temu miliony stron opartych o WordPressa? Ten mały skrypcik często dołączany do różnych motywów czy wtyczek aby ułatwić przycinanie obrazków do określonych rozmiarów pozwalał także wysłać na serwer dowolny skrypt php, który pozwalał na przejęcie władzy nad stroną.
Po latach autor małej przeróbki w kodzie TimThumba (nie sam autor TimThumba, a jedynie autor patcha) przyznał się, że to on. Oczywiście nie było jego celem popsucie czegokolwiek, a jedynie myślał, że doda nowe funkcje do tego skryptu, jak możliwość przycinania obrazków z różnych domen. Po nim tak pomyślał autor samego TimThumba, który patch zaakceptował, a po nich – już raczej bezwiednie – na tę poprawkę zgodziły się miliony kolejnych developerów.
Cała historia opisana jest tutaj.
