Hlavní navigace

PHPMailer obsahuje kritickou chybu, která může ohrozit miliony webů

David Slížek

Jedna z nejpoužívanějších PHP knihoven pro posílání e-mailů se dá zneužít pro ovládnutí webových aplikací, zjistil bezpečnostní expert Dawid Golunski

Kvůli chybě v kódu mohou případní útočníci zneužít některé formuláře (např. pro registraci, posílání mailů nebo odeslání zprávy provozovatelům webu) k vložení a spuštění svých příkazů v aplikaci.

PHPMailer vydal v uplynulých dnech už dvě opravy – ta první (verze 5.2.18) ale problém nevyřešila a dala se obejít. Následující záplata na verzi 5.2.20 už by měla problém řešit.

Knihovnu využívá podle PHPMaileru asi 9 milionů uživatelů na světě. Je také součástí řady redakčních systémů (CMS), včetně populárních řešení jako je Wordpress, Joomla nebo Drupal. 

Jejich vydavatelé na objevení chyby reagovali (Wordpress, Drupal, Joomla) s tím, že v těchto systémech je posílání e-mailů ošetřeno a chyba v PHPMaileru uživatele neohrožuje. Problém by ale mohl teoreticky nastat, pokud uživatelé na svém webu používají rozšíření (pluginy) třetích stran, které využívají děravé funkce PHPMaileru.

Našli jste v článku chybu?