Mājas lapa » Internets » PHPMailer ir neaizsargāts pret tālvadības izmantošanu kritiskas kļūdas dēļ

    PHPMailer ir neaizsargāts pret tālvadības izmantošanu kritiskas kļūdas dēļ

    PHPMailer, viens no visvairāk populāras atvērtā koda PHP bibliotēkas šodien, ir radušās pašas problēmas, jo Polijas drošības pētniekam Dawidam Golunskam ir Juridisko Hackers atklāja kritisku ievainojamību, kas atstāj to jutīgu pret attālo izmantošanu.

    Attiecīgās ievainojamības specifika (CVE-2016-10033) vēl nav atklāta, jo Golunski ir tehnisko informāciju par trūkumu PHPMailer izplatības dēļ.

    Golunski tomēr atklāja trūkumu raksturu, un šķiet, ka trūkums būtu ļaut uzbrucējam izpildīt patvaļīgu kodu attālināti tīmekļa servera kontekstā. Tas varētu apdraudēt mērķa tīmekļa lietojumprogrammu.

    Lai izmantotu šo konkrēto neaizsargātību, uzbrucējs to darīs mērķējiet tīmekļa vietnes komponentus, kas sūta e-pastus, izmantojot neaizsargātu PHPMailer klases versiju. Šādi komponenti ietver tādas lietas kā kontaktu vai atgriezeniskās saites veidlapas, reģistrācijas veidlapas, paroles e-pasta atiestatīšanu un daudzas citas.

    Par laimi, Golunski kopš tā laika ir ziņojis par šo ievainojamību PHPMailer izstrādātājiem un kopš tā laika izstrādātāji ir noslēguši minēto ievainojamību ar PHPMailer 5.2.18. Tā kā šī ievainojamība, tīmekļa administratori un izstrādātāji ietekmē visas PHPMailer versijas pirms 5.2.18, pēc iespējas ātrāk jāatjaunina sava PHPMailer versija.

    Avots: The Hacker News