PHPMailer vulnerabile agli exploit remoti a causa di un difetto critico

PHPMailer, una delle più popolari librerie PHP open source in uso oggi, si è imbattuto in problemi come ha fatto la ricercatrice polacca di sicurezza Dawid Golunski di Legal Hackers ha scoperto una vulnerabilità critica che la rende vulnerabile agli exploit remoti.

Le specifiche della vulnerabilità in questione (CVE-2016-10033) devono ancora essere rivelate come è Golunski trattenere i dettagli tecnici sulla falla a causa di come PHPMailer prevalente è.

Golunski ha rivelato la natura del difetto, e sembra che il difetto lo farebbe consentire a un utente malintenzionato di eseguire codice arbitrario da remoto nel contesto del server Web. Ciò comprometterebbe quindi l'applicazione Web di destinazione.

Per sfruttare questa particolare vulnerabilità, l'aggressore lo farebbe componenti del sito Web di destinazione che inviano email con l'aiuto di una versione vulnerabile della classe PHPMailer. Tali componenti includono cose come moduli di contatto o di feedback, moduli di registrazione, reimpostazioni di e-mail con password e molti altri.

Fortunatamente, Golunski ha segnalato questa vulnerabilità agli sviluppatori di PHPMailer e gli sviluppatori hanno successivamente corretto la vulnerabilità con PHPMailer 5.2.18. Poiché tutte le versioni di PHPMailer precedenti alla 5.2.18 sono interessate da questa vulnerabilità, gli amministratori Web e gli sviluppatori devono aggiornare PHPMailer il prima possibile.

Fonte: The Hacker News