Критическая уязвимость в PHPMailer подвергает опасности миллионы сайтов

Критическая уязвимость, допускающая удалённое исполнение кода, была обнаружена в PHPMailer — одной из самых популярных почтовых PHP-библиотек — и это поставило под удар миллионы веб-сайтов. 

Уязвимость была найдена исследователем по имени Давид Голунски и исправлена в патче 5.2.18, который был выпущен в субботу. Однако выяснилось, что заплатку всё ещё можно обойти.

Библиотека PHPMailer так или иначе используется во многих CMS, таких как WordPress, Joomla и Drupal. Даже если библиотека не включена в основной код, она скорее всего доступна для установки в качестве отдельного модуля.

Поскольку фикс можно обойти, а код эксплойта находится в публичном доступе, уязвимость имеет статус zero-day — она публично известна и не исправлена. Кроме того, поскольку степень воздействия уязвимости варьируется от сайта к сайту в зависимости от степени использования библиотеки, для решения этой проблемы в каждом отдельном случае нужно провести тщательную оценку системы.

Если PHPMailer используется напрямую в коде сайта, то библиотеку нужно обновить до исправленной версии сразу после её выхода. Также нужно выяснить, какие из форм созданы при помощи уязвимой версии библиотеки. Если же используется CMS, то нужно выяснить, подвержена ли она или сторонние модули этой уязвимости, и удалить или обновить их.

Источник: Computer World