репост из ленты vk.com

оригинал и описания тут http://seclists.org/fulldisclosure/2014/Jun/117
уязвимы все версии, включая 2.8.13, а так же оригинальный проект WordThumb 1.07 ( https://code.google.com/p/wordthumb/ )
обновленная версия в репо http://timthumb.googlecode.com/svn/trunk/timthumb.php