PHPMailer sårbar for eksterne utgaver på grunn av kritisk feil

PHPMailer, en av de mest populære åpen kildekode-PHP-bibliotekene som er i bruk i dag, har gått inn i problemer med sin egen som polske sikkerhetsforsker Dawid Golunski of Legal Hackers har oppdaget et kritisk sårbarhet som gjør at den er mottakelig for eksterne operasjoner .

Spesifikasjoner av sårbarheten i spørsmålet (CVE-2016-10033) er ennå ikke avslørt, da Golunski holder tilbake tekniske detaljer om feilen på grunn av den utbredte PHPMailer.

Golunski avslørte imidlertid feilenes natur, og det ser ut til at feilen vil tillate en angriper å utføre vilkårlig kode eksternt i sammenheng med webserveren . Dette vil da kompromittere målwebapplikasjonen.

For å utnytte dette bestemte sikkerhetsproblemet vil angriperen målrette mot nettsidekomponenter som sender ut e-postmeldinger ved hjelp av en sårbar versjon av PHPMailer-klassen . Slike komponenter inkluderer ting som kontakt- eller tilbakemeldingskjemaer, registreringsskjemaer, e-post tilbakestille passord og mange andre.

Heldigvis har Golunski siden rapportert dette sikkerhetsproblemet for utviklerne av PHPMailer, og utviklerne har siden patched sårbarheten med PHPMailer 5.2.18 . Siden all versjon av PHPMailer før 5.2.18 påvirkes av dette sikkerhetsproblemet, må webadministratorer og utviklere oppdatere PHPMailer så snart som mulig.

Kilde: The Hacker News