You are here
Home > Novosti > Kritični nedostatak u PHPMailer programskoj biblioteci

Kritični nedostatak u PHPMailer programskoj biblioteci

Datum objave novosti2016-12-28

Milijuni web sjedišta su pod rizikom zbog kritičnog nedostatka u PHPMailer programskoj biblioteci, jednoj od najkorištenijih PHP biblioteka za slanje elektroničke pošte, koji napadačima omogućuje izvršavanje proizvoljnog programskog koda na web poslužitelju. Iako je sigurnosna zakrpa izdana još u subotu u inačici PHPMailer 5.2.18, ispostavilo se da zakrpa nije potpuna i da se lako može zaobići. PHPMailer programsku biblioteku izravno ili neizravno koriste brojni CMS sustavi uključujući WordPress, Joomlu i Drupal te zbog toga ovaj nedostatak može utjecati na brojna web sjedišta, a ovisno o vrsti CMS-a imat će različite posljedice. Nedostatak je uzrokovan nedovoljnom provjerom e-mail adrese pošiljatelja, a napadaču može omogućiti umetanje shell naredbe koja bi se izvršila na web poslužitelju u kontekstu sendmail servisa. Međutim, uspješno iskorištavanje ranjivosti zahtjeva prisutnost forme na web stranici koja koristi PHPMailer za slanje e-maila i koja dozvoljava ručno unošenje e-mail adrese pošiljatelja. Nije poznato koliko su česte takve konfiguracije web forme, jer su obično adrese pošiljatelja predefinirane i korisniku dozvoljavaju isključivo unos e-mail adrese primatelja. Korisnicima koji imaju ugrađen PHP mailer u kodu web sjedišta preporučuje se ažuriranje zakrpama čim budu izdane, kao i provjeru jesu li neke od značajki web sjedišta iskorištene za slanje e-mailova korištenjem ranjivog PHPMailera.

Top
More in Novosti
Švicarski GovCERT suspendirao 500 domena

Nakon uspješne analize velike botnet mreže, švicarski registrar SWITCH privremeno je suspendirao oko 520 .ch domena. Švicarski GovCERT je prikupljao...

Close