PHPMailer е уязвим за отдалечени експлойти поради критичен недостатък

PHPMailer, един от най популярните библиотеки с отворен код PHP, които се използват днес, има свои собствени проблеми, както има полският изследовател по сигурността Давид Голунски от Юридически хакери открива критична уязвимост, която я оставя податлива на отдалечени експлойти.

Спецификите на въпросната уязвимост (CVE-2016-10033) все още не са разкрити, както е Голунски задържане на технически подробности за недостатъка поради това как преобладава PHPMailer.

Голунски обаче разкрива естеството на недостатъка и изглежда, че недостатъкът би бил позволява на атакуващия да изпълнява произволен код дистанционно в контекста на уеб сървъра. Това ще компрометира целевото уеб приложение.

За да се използва тази уязвимост, нападателят би го направил насочете компонентите на уебсайта, които изпращате имейли с помощта на уязвима версия на PHPMailer класа. Такива компоненти включват неща като форми за контакт или обратна връзка, формуляри за регистрация, нулиране на пароли за електронна поща и много други.

За щастие, Golunski оттогава съобщи тази уязвимост на разработчиците на PHPMailer, и разработчиците оттогава са кръстосали уязвимостта с PHPMailer 5.2.18. Тъй като всички версии на PHPMailer преди 5.2.18 са засегнати от тази уязвимост, уеб администраторите и разработчиците трябва да актуализират PHPMailer възможно най-скоро..

Източник: The Hacker News