Критическая уязвимость в PHPMailer подвергает опасности миллионы сайтов
Критическая уязвимость, допускающая удалённое исполнение кода, была обнаружена в PHPMailer — одной из самых популярных почтовых PHP-библиотек — и это поставило под удар миллионы веб-сайтов.
Уязвимость была найдена исследователем по имени Давид Голунски и исправлена в патче 5.2.18, который был выпущен в субботу. Однако выяснилось, что заплатку всё ещё можно обойти.
Библиотека PHPMailer так или иначе используется во многих CMS, таких как WordPress, Joomla и Drupal. Даже если библиотека не включена в основной код, она скорее всего доступна для установки в качестве отдельного модуля.
Поскольку фикс можно обойти, а код эксплойта находится в публичном доступе, уязвимость имеет статус zero-day — она публично известна и не исправлена. Кроме того, поскольку степень воздействия уязвимости варьируется от сайта к сайту в зависимости от степени использования библиотеки, для решения этой проблемы в каждом отдельном случае нужно провести тщательную оценку системы.
Если PHPMailer используется напрямую в коде сайта, то библиотеку нужно обновить до исправленной версии сразу после её выхода. Также нужно выяснить, какие из форм созданы при помощи уязвимой версии библиотеки. Если же используется CMS, то нужно выяснить, подвержена ли она или сторонние модули этой уязвимости, и удалить или обновить их.
3К открытий3К показов
Как перевести CMS Bitrix на PHP 8.2, получить новые возможности и улучшить производительность. Советы по безопасному обновлению.
Рассказываем об особенностях языка программирования PHP от 7 версии. Рассматриваем строки, массивы, Interned variables и Copy on write.
Объясняем, что значит мем «Джун уронил прод» и объясняем, что делать, чтобы прод не падал, и кого винить в падении прода.
Составили подборку из 20 Twitter-аккаунтов разработчиков Python, на которых вам стоит подписаться. Рассказали, чем ценны их аккаунты.