資安研究人員Dawid Golunski本周日(12/25)揭露一藏匿在PHPMailer的安全漏洞,將允許遠端駭客執行任意程式,估計影響數百萬個網站PHPMailer開發團隊則在一周內釋出兩次更新以修補該漏洞。

PHPMailer為一可用來安全運送郵件的函式庫,是全球最受歡迎的PHP郵件寄送函式庫之一,包括WordPress、Drupal及Joomla!等開源CMS平臺都使用PHPMailer,Golunski估計PHPMailer的全球用戶超過900萬。

Golunski說明,駭客可藉由各種常見的網站元件送出電子郵件以開採此一編號為CVE-2016-10033的安全漏洞,例如聯絡/意見格式、註冊格式,或是電子郵件密碼重置等,成功的開採將可危害網路應用程式,或是針對網站伺服器的使用者進行遠端程式攻擊,影響所有的PHPMailer版本。

PHPMailer團隊已在上周六(12/24)釋出PHPMailer 5.2.18修補了CVE-2016-10033,不過,Golunski隨後便發現他能繞過此一修補程式,促使該團隊於本周三(12/28)再度釋出5.2.20進行修補。

有鑑於該漏洞的嚴重性,再加上已有攻擊程式在網路上流傳,讓向來不針對第三方函式庫發出公告的Drupal也發聲,提醒採用PHPMailer的Drupal用戶儘速更新。

熱門新聞

Advertisement