PHPMailer terdedah kepada eksploitasi jauh kerana kelemahan kritikal
PHPMailer, salah satu yang paling perpustakaan terbuka sumber terbuka PHP yang digunakan hari ini, telah menghadapi masalah sendiri sebagai penyelidik keselamatan Poland Dawid Golunski daripada Perunding Undang-undang telah mendapati kelemahan kritikal yang membuatnya mudah terdedah kepada eksploitasi jarak jauh.
Spesifikasi kerentanan yang dipersoalkan (CVE-2016-10033) masih belum dinyatakan sebagai Golunski menahan butiran teknikal tentang kelemahan kerana PHPMailer lazimnya.
Golunski telah mendedahkan sifat cacat walaupun, dan kelihatannya kekurangan itu membenarkan penyerang untuk melaksanakan kod sewenang-wenang dari jauh di dalam konteks pelayan web. Ini akan berkompromi dengan aplikasi web sasaran.
Untuk mengeksploitasi kelemahan ini, penyerang akan komponen laman web sasaran yang menghantar e-mel dengan bantuan versi terdedah dari kelas PHPMailer. Komponen tersebut termasuk perkara seperti kenalan atau borang maklum balas, borang pendaftaran, kata laluan semula kata laluan dan banyak lagi.
Nasib baik, Golunski telah melaporkan kekurangan ini kepada pemaju PHPMailer, dan pemaju sejak ditetap berkata kelemahan dengan PHPMailer 5.2.18. Oleh kerana semua versi PHPMailer sebelum 5.2.18 dipengaruhi oleh kelemahan ini, pentadbir web, dan pemaju perlu mengemas kini PHPMailer mereka secepat mungkin.
Source: The Hacker News