PHPMailer sårbar for eksterne utgaver på grunn av kritisk feil
PHPMailer, en av de mest populære open source PHP biblioteker i bruk i dag, har hatt problemer med seg selv som polsk sikkerhetsforsker Dawid Golunski fra Legal Hackers har oppdaget et kritisk sårbarhet som gjør at den er mottakelig for fjerntliggende utnyttelser.
Spesifikasjoner av sårbarheten i spørsmålet (CVE-2016-10033) har ennå ikke blitt avslørt som Golunski er tilbakeholdende tekniske detaljer om feilen på grunn av hvor utbredt PHPMailer er.
Golunski avslørte imidlertid feilenes natur, og det ser ut til at feilen ville Tillat en angriper å utføre vilkårlig kode eksternt i sammenheng med webserveren. Dette vil da kompromittere målwebapplikasjonen.
For å utnytte dette bestemte sikkerhetsproblemet ville angriperen Mål nettsider som sender ut e-post med hjelp av en sårbar versjon av PHPMailer-klassen. Slike komponenter inkluderer ting som kontakt- eller tilbakemeldingskjemaer, registreringsskjemaer, e-post tilbakestille passord og mange andre.
Heldigvis har Golunski rapportert dette sårbarheten til utviklerne av PHPMailer, og Utviklerne har siden patched sårbarheten med PHPMailer 5.2.18. Siden all versjon av PHPMailer før 5.2.18 påvirkes av dette sikkerhetsproblemet, må webadministratorer og utviklere oppdatere PHPMailer så snart som mulig.
Kilde: The Hacker News