PHPMailer 升級到 5.2.18 解決安全性問題

PHPMailer < 5.2.18 的版本,都有 Remote Code Execution (CVE-2016-10033) 的安全性漏洞,請盡快升級到 5.2.18 以上的版本。升級到 5.2.20 以上的版本

  • 註:詳細的攻擊方式、程式還沒有公開,讓大家有時間可以趕快升級套件~
  • 註:5.2.19 也會被繞過去,所以需要升級到 5.2.20 以上

PHPMailer 升級到 5.2.18 解決安全性問題

PHPMailer 被各方套件使用的非常廣泛,WordPress、Drupal、SugarCRM、Yii、Joomla... 都有使用,這次的問題似乎蠻嚴重的,能升級就盡快動手吧!

Legal/ethical hacking 提報的安全性問題,詳細可見:

  • PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln
    • To exploit the vulnerability an attacker could target common website components such as contact/feedback forms, registration forms, password email resets and others that send out emails with the help of a vulnerable version of the PHPMailer class.

安全性說明、PoC 釋出:(由寄件者的變數來進行攻擊)





作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.

在〈PHPMailer 升級到 5.2.18 解決安全性問題〉中有 2 則留言

該不會 發表迴響取消回覆

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料