Zostań certyfikowanym specjalistą Microsoft i zdobądź darmowy voucher na egzamin.

PHPMailer – odczytywanie plików z serwera. Jest exploit

27 października 2017, 10:12 | W biegu | komentarze 2

Podatność występuje do wersji 5.2.21 PHPMailera i z jednej strony została załatana już na początku tego roku. Z drugiej – właśnie pokazał się prosty exploit dostępny w popularnych miejscach.

W skrócie – wystarczy użyć formularza wysyłającego maile HTML (i mieć możliwość odczytania takiego maila). Z kolei w treści maila umieszczamy np.:
<img src=”/etc/passwd” i… odczytywany + umieszczany w mailu jest plik z serwera. Taka podatność, załatana w 2017 roku w popularnej bibliotece nie nastraja zbyt pozytywnie…

Polecamy sprawdzenie wykorzystanej przez siebie wersji PHPMailera, np. tak:

webroot$ grep -r 'public $Version =' *|grep phpmailer

prod/class-phpmailer.php:    public $Version = '5.2.22';

I aktualizację co najmniej do wersji 5.2.22

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tomasz

    i to napisany przez naszego rodaka

    Odpowiedz
    • heh@heh.he

      ta chyba twojego !

      Odpowiedz

Odpowiedz na Tomasz