PHPMailer yra pažeidžiamas nuotolinio išnaudojimo atžvilgiu dėl kritinio trūkumo
PHPMailer, vienas is labiausiai populiarios atviro kodo PHP bibliotekos, susidūrė su problemomis, nes Lenkijos saugumo tyrinėtojas Dawid Golunski yra „Legal Hackers“ rado svarbų pažeidžiamumą, kuris palieka jį nuotolinio išnaudojimo atžvilgiu.
Šio pažeidžiamumo ypatumai (CVE-2016-10033) dar neatskleidžiami, nes Golunskis yra techninių duomenų apie trūkumą išskyrimas dėl to, kaip paplitęs PHPMailer.
Tačiau Golunskis atskleidė trūkumų pobūdį, ir atrodo, kad trūkumas leisti užpuolikui nuotoliniu būdu vykdyti savavališką kodą žiniatinklio serverio kontekste. Tai pakenktų taikomajai žiniatinklio programai.
Norint išnaudoti šį ypatingą pažeidžiamumą, puolėjas nukreipti svetainės komponentus, siunčiančius el. laiškus, naudojant pažeidžiamą PHPMailer klasės versiją. Tokie komponentai apima tokius dalykus kaip kontaktiniai arba grįžtamieji pranešimai, registracijos formos, slaptažodžio el. Pašto nustatymai ir daugelis kitų.
Laimei, Golunski pranešė apie šį pažeidžiamumą PHPMailer kūrėjams ir nuo to laiko programuotojai pataisė minėtą pažeidžiamumą su PHPMailer 5.2.18. Kadangi ši pažeidžiamumas, žiniatinklio administratoriai ir kūrėjai turi įtakos visai PHPMailer versijai iki 5.2.18, jie turėtų kuo greičiau atnaujinti savo PHPMailer.
Šaltinis: „The Hacker News“