Una vulnerabilidad crítica ha sido descubierta en PHPMailer , que es una de las bibliotecas de PHP de código abierto más populares para enviar mensajes de correo electrónico utilizadas por más de 9 millones de usuarios en todo el mundo.
Millones de sitios web y aplicaciones web PHP populares de código abierto, incluyendo WordPress, Drupal, 1CRM, SugarCRM, Yii, y Joomla viene con la biblioteca PHPMailer para enviar mensajes de correo electrónico usando una variedad de métodos, incluyendo SMTP para sus usuarios.
Descubierto por el investigador de seguridad polaco Dawid Golunski de piratas informáticos legales , la vulnerabilidad crítica ( CVE-2016-10033 ) permite a un atacante ejecutar remotamente código arbitrario en el contexto del servidor web y poner en peligro la aplicación web de destino.
"Para explotar la vulnerabilidad, un atacante podría apuntar a los componentes de sitios web comunes, tales como las formas de contacto / feedback, formularios de inscripción, se restablece correo electrónico la contraseña y otros que envían mensajes de correo electrónico con la ayuda de una versión vulnerable de la clase PHPMailer," Golunski escribe en el asesoramiento publicada hoy.Golunski informó responsablemente la vulnerabilidad a los desarrolladores, que han parcheado la vulnerabilidad en su nueva versión, PHPMailer 5.2.18 .
Todas las versiones de PHPMailer antes del lanzamiento crítico de PHPMailer 5.2.18 se ven afectados, por lo que los administradores y desarrolladores web se recomienda encarecidamente actualizar a la versión parcheada.
Desde El Hacker News está haciendo la primera revelación pública de la vulnerabilidad en la prensa luego de asesoramiento y millones de sitios web Golunski permanecen sin parchear, el investigador ha puesto en espera más detalles técnicos acerca de la falla.
Sin embargo, Golunski ha prometido liberar más detalles técnicos sobre la vulnerabilidad en los próximos días, incluyendo una prueba de concepto de código de explotación y el vídeo de demostración que muestra el ataque en la acción.
Vamos a actualizar este artículo con información adicional sobre la vulnerabilidad PHPMailer, código de explotación y la demostración de vídeo, una vez que el investigador hace que sea pública.
No hay comentarios:
Publicar un comentario