Portál AbcLinuxu, 29. dubna 2024 04:39


Dvě vážné bezpečnostní chyby v knihovně PHPMailer

V knihovně PHPMailer používané pro posílání emailů z PHP aplikací byla nalezena vážná bezpečnostní chyba CVE-2016-10033. Útočník může vzdáleně na serveru spouštět libovolné příkazy. Chyba byla "opravena" ve verzi PHPMaileru 5.2.18. Následně ale byly zveřejněny informace, že knihovna je stále zranitelná. Bezpečnostní chyba CVE-2016-10045 byla opravena ve verzi PHPMaileru 5.2.20.

28.12.2016 18:00 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

28.12.2016 20:30 anon
Rozbalit Rozbalit vše Re: Dvě vážné bezpečnostní chyby v knihovně PHPMailer
Odpovědět | Sbalit | Link | Blokovat | Admin
This vulnerability can occur in the following circumstances:

The script is using PHPMailer's default isMail() transport, i.e. using PHP's built-in mail() function.

The 'From' address is set from user input.

The Sender property is not set explicitly.

The server is not running the postfix mail server
Není to zase tak horký
30.12.2016 08:11 Michal
Rozbalit Rozbalit vše Re: Dvě vážné bezpečnostní chyby v knihovně PHPMailer
A jeste ten 'from' nesmi byt validovany. Tohle neni vubec horke...

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.