Hlavní navigace

PHPMailer obsahuje kritickou chybu, která může ohrozit miliony webů

Sdílet

David Slížek 29. 12. 2016

Jedna z nejpoužívanějších PHP knihoven pro posílání e-mailů se dá zneužít pro ovládnutí webových aplikací, zjistil bezpečnostní expert Dawid Golunski

Kvůli chybě v kódu mohou případní útočníci zneužít některé formuláře (např. pro registraci, posílání mailů nebo odeslání zprávy provozovatelům webu) k vložení a spuštění svých příkazů v aplikaci.

PHPMailer vydal v uplynulých dnech už dvě opravy – ta první (verze 5.2.18) ale problém nevyřešila a dala se obejít. Následující záplata na verzi 5.2.20 už by měla problém řešit.

Knihovnu využívá podle PHPMaileru asi 9 milionů uživatelů na světě. Je také součástí řady redakčních systémů (CMS), včetně populárních řešení jako je Wordpress, Joomla nebo Drupal. 

Jejich vydavatelé na objevení chyby reagovali (Wordpress, Drupal, Joomla) s tím, že v těchto systémech je posílání e-mailů ošetřeno a chyba v PHPMaileru uživatele neohrožuje. Problém by ale mohl teoreticky nastat, pokud uživatelé na svém webu používají rozšíření (pluginy) třetích stran, které využívají děravé funkce PHPMaileru.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 29. 12. 2016 21:34

    karl (neregistrovaný) ---.net.upcbroadband.cz

    Zpráva je hodně bulvární, doplním, že aby se chyba projevila, je nutné "splnit" všechny tyto podmínky:
    - jako From: uvést email uvedený uživatelem třeba z formuláře a neuvést Sender: header. Dávat do From: email od uživatele bez kontroly je samo o sobě blbost, k tomu slouží Reply-To:
    - použít fci mail() v php (nikoli SMTP)
    - na serveru nesmí být postfix apod., ale jen originální sendmail

  • 30. 12. 2016 2:35

    Tomáš2 (neregistrovaný) ---.aoj.io

    k tomu bych doplnil, že podle původního příspěvku na blogu zranitelnost se projeví i pokud je email ve správném tvaru (s mezerou a uvozovkami, což je také trochu extrém).

    A ano, všichni o tom píší jen pro ten bulvár, reálná zranitelnost je velice malá a třeba Wordpress jí není postihnut, nějaký jeho plugin možná.

  • 29. 12. 2016 18:12

    jirka (neregistrovaný) ---.vslesy.cz

    Dekuji za info, aktualizovano :-)