Après l’alerte vulnérabilité, la version 2 complètement réécrite corrige et améliore cet excellent script.

Toutefois, il peut arriver qu’en remplaçant la version précédente, vous n’ayez plus aucune image !

Avec le debug=true, on s’aperçoit que la gestion du répertoire dépend de l’environnement du site…

La modification apportée a consisté, pour nous, à remplacer ligne 785
$docRoot = @$_SERVER['DOCUMENT_ROOT'];
par
$docRoot = @$_SERVER['HTTP_RACINE'];

Le plus simple est de choisir la bonne variable avec un phpinfo.

Autre astuce :
Renvoyer l’error_log sur son email en l’ajoutant vers la ligne 1062 à
error_log(« TimThumb Debug line  » . __LINE__ .  » [$execTime : $tick]: $msg »);
qui devient
error_log(« TimThumb Debug line  » . __LINE__ .  » [$execTime : $tick]: $msg », 1, « moi@monsite.com »);

N’hésitez pas à nous contacter !

Le site de l’auteur : http://www.binarymoon.co.uk/
La dernière version (2.8 au 01/09/2011) : http://timthumb.googlecode.com/svn/trunk/timthumb.php
Les paramètres décortiqués : http://www.binarymoon.co.uk/demo/

De nombreux sites, y compris la presse spécialisée, ont signalé une vulnérabilité de timthumb (qui permet de redimensionner les images).

Tous les sites de nos clients sont maintenant à jour des modifications opérées sur ce script au 04/08/2111.

La dernière version est accessible ici.