本文讲的是 关于PHPMailer漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到多个关于“PHPMailer”漏洞情况的报送。先是编号为CNNVD-201612-675的“PHPMailer输入验证漏洞”,2016年12月24日,PHPMailer官方针对该漏洞发布修复补丁,但安全人员发现该补丁未能完全修复该漏洞,从而导致新的输入验证漏洞产生(CNNVD-201612-755)。为此,12月28日,PHPMailer官方再次针对新漏洞发布修复补丁。由于上述漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:
一、 漏洞简介
PHPMailer是一个用于发送电子邮件的PHP类库。WordPress、Drupal、1CRM、SugarCRM、Yii、Joomla!、thinkphp等都默认调用了该类库。
PHPMailer 5.2.18之前的版本中存在输入验证漏洞(CNNVD-201612-675,CVE-2016-10033)。该漏洞源于类库未对用户输入进行有效过滤,导致远程攻击者可利用该漏洞在Web服务器中执行任意代码。
PHPMailer 5.2.20之前的版本中存在输入验证漏洞(CNNVD-201612-755,CVE-2016-10045)。该漏洞由于PHPMailer官方针对上述输入验证漏洞(CNNVD-201612-675,CVE-2016-10033)补丁中使用的过滤函数可被绕过,导致远程攻击者可利用该漏洞在Web服务器中执行任意代码。
二、 漏洞危害
远程未授权的攻击者可通过输入恶意构造的参数利用上述漏洞,在使用了该PHP类库的Web服务器中执行任意代码,可导致目标主机被完全控制。
三、 修复措施
目前,PHPMailer官方已针对上述漏洞发布了修复版本,请受影响的用户尽快升级至5.2.20及以上版本以消除漏洞影响。补丁获取链接:
https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md
本报告由CNNVD技术支撑单位——北京白帽汇科技有限公司提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。