Kwetsbaarheid in PHPMailer gedicht

Op 27 december 2016 werd bekend dat een oudere versie van PHPMailer, een populair php-script voor het automatisch versturen van mail, een kwetsbaarheid bevat. Door de kwetsbaarheid is het voor aanvallers mogelijk om op afstand code uit te voeren. Daardoor kan een aanvaller controle krijgen over de server waarop het script is geïnstalleerd, en de website overnemen met de gebruikersrechten van de website. Dat schrijft Tweakers.net.

Om gebruik te maken van de kwetsbaarheid hoeft een aanvaller alleen maar een mail te versturen door een kwetsbare PHPMailer-klasse, zoals bijvoorbeeld een contactformulier of het resetten van wachtwoorden.

De securitybug, die de titel CVE-2016-10033 draagt, is op 25 december met de nieuwe versie (5.2.18) gepatched. Echter, volgens David Golunski, de Poolse veiligheidsonderzoeker die de kwetsbaarheid heeft ontdekt, zijn vroegere versies van voor 25 december nog steeds kwetsbaar. Vermoedelijk lopen miljoenen websites op het internet gevaar. De website kan overgenomen worden met de gebruikersrechten van de website.

CMS’en zoals WordPress en Drupal bereiden nu security patches voor om ervoor te zorgen dat patches gestandaardiseerd worden in nieuwere versies. Geadviseerd wordt om PHPMailer zo snel mogelijk up te daten naar de nieuwste versie.

 

EDIT 29/12: 
De eerste patch van de kwetsbaarheid was nog incompleet (5.2.18). Het advies nu is om PHPMailer te patchen naar de meest recente versie: 5.2.20. Voor meer gedetailleerde informatie: zie dit document van Legal Hackers.

Bron: Tweakers.net

Kilian Drewel
Contentmarketeer
Deel dit artikel via sociale media:

Hosting - 28.10.2019

Er is een kwetsbaarheid gevonden die websites kan treffen die gebruikmaken van programmeertaal PHP en webserversoftware NGINX. Met de kwetsbaarheid kunnen kwaadwillenden toegang krijgen tot een server en deze daarmee overnemen. True heeft gisteren en vandaag (maandag) de noodzakelijke stappen ondernomen en configuraties in NGINX -webservers van klanten aangepast om de kwetsbaarheid te voorkomen. In […]

Hosting - 09.01.2019

Het maken van digitale producten zoals websites en applicaties is sterk onderhevig aan veranderingen. Nieuwe manieren van werken en technologieën verschijnen constant in het speelveld en maken het werk van de developer een stuk eenvoudiger. Ontwikkelingen die wij nauwlettend in de gaten houden het komende jaar? Public cloud, microservices, containers, Security-as-a-Service, no-code platforms en de […]

Technology - 02.10.2018

Tijdens Microsoft Ignite, het evenement voor IT-professionals, heeft het techbedrijf een aantal innovaties onthuld. De focus ligt daarbij op kunstmatige intelligentie (AI) en security. Hoe gaat AI de werkvloer veroveren? En hoe wil Microsoft medewerkers efficiënter en veiliger laten samenwerken? Een blog van Eelco Huurdeman.  Microsoft Ignite richt zich vooral op programmeurs en IT-professionals in […]

Blijf op de hoogte en schrijf u in voor onze nieuwsbrief
Schrijf u in voor de nieuwsbrief

Vraag offerte aan

Vul onderstaand formulier in. True neemt zo snel mogelijk contact met u op.