PHPMailer vulnérable aux exploits distants dus à un défaut critique

PHPMailer, l'une des librairies PHP open source les plus utilisées actuellement, a rencontré des problèmes, le chercheur polonais en sécurité Dawid Golunski de Legal Hackers ayant découvert une vulnérabilité critique qui le rend vulnérable aux exploits à distance .

Les détails de la vulnérabilité en question (CVE-2016-10033) n'ont pas encore été révélés, Golunski retenant des détails techniques sur la faille en raison de la prévalence de PHPMailer.

Golunski a cependant révélé la nature de la faille, et il semble que la faille permettrait à un attaquant d'exécuter du code arbitraire à distance dans le contexte du serveur Web . Cela compromettrait alors l'application Web cible.

Afin d'exploiter cette vulnérabilité particulière, l'attaquant ciblerait les composants de site Web qui envoient des courriels à l'aide d'une version vulnérable de la classe PHPMailer . De tels composants incluent des choses comme des formulaires de contact ou de rétroaction, des formulaires d'inscription, des réinitialisations de mot de passe par courriel et bien d'autres.

Heureusement, Golunski a depuis signalé cette vulnérabilité aux développeurs de PHPMailer, et les développeurs ont depuis corrigé cette vulnérabilité avec PHPMailer 5.2.18 . Comme toutes les versions de PHPMailer antérieures à 5.2.18 sont affectées par cette vulnérabilité, les administrateurs Web et les développeurs doivent mettre à jour leur programme PHPMailer dès que possible.

Source: Nouvelles de Hacker