關於PHPMailer漏洞情況的通報
本文講的是 關於PHPMailer漏洞情況的通報,近日,國家資訊保安漏洞庫(CNNVD)收到多個關於“PHPMailer”漏洞情況的報送。先是編號為CNNVD-201612-675的“PHPMailer輸入驗證漏洞”,2016年12月24日,PHPMailer官方針對該漏洞釋出修復補丁,但安全人員發現該補丁未能完全修復該漏洞,從而導致新的輸入驗證漏洞產生(CNNVD-201612-755)。為此,12月28日,PHPMailer官方再次針對新漏洞釋出修復補丁。由於上述漏洞影響範圍廣,危害級別高,國家資訊保安漏洞庫(CNNVD)對此進行了跟蹤分析,情況如下:
一、 漏洞簡介
PHPMailer是一個用於傳送電子郵件的PHP類庫。WordPress、Drupal、1CRM、SugarCRM、Yii、Joomla!、thinkphp等都預設呼叫了該類庫。
PHPMailer 5.2.18之前的版本中存在輸入驗證漏洞(CNNVD-201612-675,CVE-2016-10033)。該漏洞源於類庫未對使用者輸入進行有效過濾,導致遠端攻擊者可利用該漏洞在Web伺服器中執行任意程式碼。
PHPMailer 5.2.20之前的版本中存在輸入驗證漏洞(CNNVD-201612-755,CVE-2016-10045)。該漏洞由於PHPMailer官方針對上述輸入驗證漏洞(CNNVD-201612-675,CVE-2016-10033)補丁中使用的過濾函式可被繞過,導致遠端攻擊者可利用該漏洞在Web伺服器中執行任意程式碼。
二、 漏洞危害
遠端未授權的攻擊者可通過輸入惡意構造的引數利用上述漏洞,在使用了該PHP類庫的Web伺服器中執行任意程式碼,可導致目標主機被完全控制。
三、 修復措施
目前,PHPMailer官方已針對上述漏洞釋出了修復版本,請受影響的使用者儘快升級至5.2.20及以上版本以消除漏洞影響。補丁獲取連結:
https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md
本報告由CNNVD技術支撐單位——北京白帽匯科技有限公司提供支援。
CNNVD將繼續跟蹤上述漏洞的相關情況,及時釋出相關資訊。如有需要,可與CNNVD聯絡。
原文釋出時間為:十二月 30, 2016
本文作者:aqniu
本文來自雲棲社群合作伙伴安全牛,瞭解相關資訊可以關注安全牛
原文連結:http://www.aqniu.com/threat-alert/22056.html
相關文章
- 關於第七屆CNCERT網路安全應急服務支撐單位考核情況的通報
- 關於變數與‘=’賦值的情況出錯變數賦值
- 關於PHP5後“預設情況下物件是通過引用傳遞的”思考PHP物件
- 關於db2 lsn將要耗盡的情況分析DB2
- PHPMailer遠端命令執行漏洞復現PHPAI
- Linux下關於解決JavaSwing中文亂碼的情況LinuxJava
- 不用vuex的情況下,隔代元件間的通訊Vue元件
- pip報importError錯誤的一些情況ImportError
- ash報告中無sql_id的情況SQL
- phpmailerPHPAI
- 通過閃回事務檢視資料dml的情況
- 關於docker-compose up -d 出現超時情況處理Docker
- linux系統活動情況報告-sarLinux
- 網信辦通報百款常用App申請收集個人資訊許可權情況APP
- 上海警方通報華住酒店資訊資料洩露情況:已介入調查
- fw:請問廣州海格通訊產業集團的待遇情況?產業
- 廣州海格通訊集團 研發的一些情況。
- phpmailer教程PHPAI
- 關於移動網際網路廣告在人群分化的情況下該如何投放ZFV
- DBMS_BACKUP_RESTORE用於特殊情況下的恢復REST
- mysql索引失效的情況MySql索引
- NoClassDefFoundError的兩種情況Error
- 針對於近期情況的總結與更改 tips || 3月份簡略日報
- 月結各模組關閉情況查詢SQLSQL
- 關於OpenSSL“心臟出血”漏洞的分析
- 新的 Azure AD 漏洞讓黑客在不被發現的情況下發動攻擊黑客
- DorkBot殭屍網路近期活躍情況報告
- sql統計時間出現斷點的相關情況SQL斷點
- DBMS_BACKUP_RESTORE用於特殊情況下的恢復(轉)REST
- 批次查詢並設定中通快遞延誤情況的方法
- 關於Android安裝apk出現解析包異常問題情況總結AndroidAPK
- Mysql 可能鎖表的情況MySql
- Oracle其它情況的恢復Oracle
- DOM對映的特殊情況
- 請問這種情況下表關係如何設計
- argv[0]在什麼情況下不等於程式名
- 通過 Battery Historian 工具分析 Android APP 耗電情況BATAndroidAPP
- 通過Nethogs檢視伺服器網路卡流量情況HOG伺服器