PHPMailer – odczytywanie plików z serwera. Jest exploit

27 października 2017, 10:12 | W biegu | komentarze 2
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Podatność występuje do wersji 5.2.21 PHPMailera i z jednej strony została załatana już na początku tego roku. Z drugiej – właśnie pokazał się prosty exploit dostępny w popularnych miejscach.

W skrócie – wystarczy użyć formularza wysyłającego maile HTML (i mieć możliwość odczytania takiego maila). Z kolei w treści maila umieszczamy np.:
<img src="/etc/passwd" i… odczytywany + umieszczany w mailu jest plik z serwera. Taka podatność, załatana w 2017 roku w popularnej bibliotece nie nastraja zbyt pozytywnie…

Polecamy sprawdzenie wykorzystanej przez siebie wersji PHPMailera, np. tak:

I aktualizację co najmniej do wersji 5.2.22

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tomasz

    i to napisany przez naszego rodaka

    Odpowiedz
    • heh@heh.he

      ta chyba twojego !

      Odpowiedz

Odpowiedz