PHPMailer е уязвим за отдалечени експлойти поради критичен недостатък
PHPMailer, един от най популярните библиотеки с отворен код PHP, които се използват днес, има свои собствени проблеми, както има полският изследовател по сигурността Давид Голунски от Юридически хакери открива критична уязвимост, която я оставя податлива на отдалечени експлойти.
Спецификите на въпросната уязвимост (CVE-2016-10033) все още не са разкрити, както е Голунски задържане на технически подробности за недостатъка поради това как преобладава PHPMailer.
Голунски обаче разкрива естеството на недостатъка и изглежда, че недостатъкът би бил позволява на атакуващия да изпълнява произволен код дистанционно в контекста на уеб сървъра. Това ще компрометира целевото уеб приложение.
За да се използва тази уязвимост, нападателят би го направил насочете компонентите на уебсайта, които изпращате имейли с помощта на уязвима версия на PHPMailer класа. Такива компоненти включват неща като форми за контакт или обратна връзка, формуляри за регистрация, нулиране на пароли за електронна поща и много други.
За щастие, Golunski оттогава съобщи тази уязвимост на разработчиците на PHPMailer, и разработчиците оттогава са кръстосали уязвимостта с PHPMailer 5.2.18. Тъй като всички версии на PHPMailer преди 5.2.18 са засегнати от тази уязвимост, уеб администраторите и разработчиците трябва да актуализират PHPMailer възможно най-скоро..
Източник: The Hacker News