波兰安全研究员 Dawid Golunski 发现流行的邮件发送工具 PHPMailer 存在严重漏洞 (CVE-2016-10033),允许攻击者远程在 web 服务器环境中执行任意代码,对目标 Web 应用程序造成危害。攻击者可利用 PHPMailer 漏洞针对需发送邮件的普通网站组件。如反馈表单、注册表单、邮件密码重置表单等。PoC详情
PHPMailer 是一个强大的 PHP 编写的邮件发送类。全球有超过 900 万用户使用该工具,数百万 PHP 网站和开源 Web 应用程序包括 WordPress、Drupal、1CRM、Joomla 都使用它发送邮件。该工具还能发送附件和 HTML 格式的邮件,同时还能使用 SMTP 服务器来发送邮件。
漏洞影响
PHPMailer 5.2.18 之前的版本都受到影响。
漏洞修复
PHPMailer 的供应商紧急修复漏洞发布最新版本 PHPMailer 5.2.18,用户需及时更新升级避免被恶意利用。
from hackernews.cc.thanks for it.