Krytyczny błąd w PHPmailer – można wykonać kod w OS

Widać że hack^H^H^H^H^H badacze bezpieczeństwa w Święta mają trochę więcej czasu ;) Tym razem mamy możliwość wykonania kodu w systemie operacyjnym poprzez podatność w popularnej bibliotece PHPmailer:

SECURITY Critical security update for CVE-2016-10033 please update now!

W skrócie, sama biblioteka reklamuje się tak:

Probably the world’s most popular code for sending email from PHP!

Used by many open-source projects: WordPress, Drupal, 1CRM, SugarCRM, Yii, Joomla! and many more

Prawdopodobnie żeby wykonać kod trzeba mieć możliwość kontrolowania adresu, z którego mail jest wysyłany  (który w skrócie mówiąc, dalej przesyłany jest do systemu operacyjnego bez odpowiednich walidacji).

Niby duże wymaganie, ale czasem serwisy umożliwiają wpisanie swojego adresu e-mail choćby w formularzach kontaktowych (oczywiście taki mail musi być jeszcze wysyłany i to z wykorzystaniem tej biblioteki, a nie jedynie np. odkładany w bazie danych; całość zależy też od przyjętego sposobu walidacji e-maila).

Błyskawicznie zareagował zespół Drupala – mimo że core systemu nie zawiera PHPmailera, jednak jest to na tyle popularny plugin że w połączeniu z krytycznością – zdecydowano się na publikację ostrzeżenia.

Wśród innych potencjalnych celów wskazuje się też:

• WordPressa (+ rozmaite pluginy które zawierają w sobie PHPmailera)
• Mantisa
• Joomlę

Naszym zdaniem największy chyba problem mogą stanowić popularne pluginy do rozmaitych systemów, gdzie developerzy z dużym prawdopodobieństwem nigdy nie zaktualizują PHPmailera…

–ms