PHPMailer, kritik bir kusur nedeniyle uzaktaki kullanımlara açıktır
PHPMailer, en iyilerinden biri Günümüzde kullanılan popüler açık kaynaklı PHP kütüphaneleri, Polonyalı güvenlik araştırmacısı Dawid Golunski'nin Hukuk Hackerları olarak kendi sorunlarıyla karşılaştık Uzaktaki sömürülere duyarlı kılan kritik bir güvenlik açığı keşfetti.
Söz konusu güvenlik açığının özellikleri (CVE-2016-10033) henüz Golunski’nin belirttiği gibi açığa çıkmadı. kusur hakkında teknik detayların durması PHPMailer ne kadar yaygın olduğu için.
Golunski, kusurun doğasını ortaya çıkardı, ancak kusurun ortaya çıkacağı ortaya çıktı. bir saldırganın web sunucusu bağlamında uzaktan rasgele kod yürütmesine izin ver. Bu daha sonra hedef web uygulamasını tehlikeye atar..
Saldırganın bu güvenlik açığından yararlanabilmesi için saldırganın PHPMailer sınıfının savunmasız bir sürümü yardımıyla e-posta gönderen web sitesi bileşenlerini hedefleme. Bu bileşenler, iletişim veya geri bildirim formları, kayıt formları, parola e-posta sıfırlamaları ve diğerleri gibi şeyleri içerir.
Neyse ki, Golunski o zamandan beri PHPMailer geliştiricilere bu güvenlik açığını açıkladı ve geliştiriciler o zamandan beri PHPMailer 5.2.18'deki güvenlik açığını yattı.. 5.2.18'den önceki tüm PHPMailer sürümleri bu güvenlik açığından etkilendiğinden, web yöneticileri ve geliştiriciler PHPMailer'lerini en kısa sürede güncellemelidir..
Kaynak: Hacker News