PHPMailer sårbar over for fjernbetjeninger på grund af en kritisk fejl
PHPMailer, en af de mest populære open source PHP biblioteker i brug i dag, har kørt ind i egne problemer som polsk sikkerhedsforsker Dawid Golunski fra Legal Hackers har opdaget et kritisk sårbarhed, der efterlader det modtageligt for fjernbetjening.
Specifikationer for den pågældende sårbarhed (CVE-2016-10033) er endnu ikke afsløret som Golunski er tilbageholdelse af tekniske detaljer om fejlen på grund af, hvordan udbredt PHPMailer er.
Golunski afslørede dog fejlens natur, og det ser ud til, at fejlen ville Tillad en hacker at udføre vilkårlig kode eksternt i forbindelse med webserveren. Dette ville så kompromittere målwebapplikationen.
For at udnytte denne særlige sårbarhed ville angriberen mål hjemmeside komponenter, der sender ud e-mails ved hjælp af en sårbar version af PHPMailer klassen. Sådanne komponenter omfatter ting som kontakt eller feedback formularer, registreringsformularer, e-mail nulstiller adgangskode og mange andre.
Heldigvis har Golunski siden rapporteret denne sårbarhed overfor udviklerne af PHPMailer, og udviklerne har siden patched sagt sårbarhed med phpmailer 5.2.18. Da alle versioner af PHPMailer før 5.2.18 påvirkes af denne sårbarhed, skal webadministratorer og udviklere opdatere deres PHPMailer så hurtigt som muligt.
Kilde: The Hacker News