|
|
WordPress、Drupal及Joomla!等開源CMS平臺都使用PHPMailer郵寄函式庫,Golunski估計,PHPMailer的全球用戶超過900萬,影響數百萬個網站。 +H+O�YQ>^� �b2��ZKhS8
�k�/*r2 C�  �v��Q
5
p�
x�C{�W�_a( 資安研究人員Dawid Golunski本周日(12/25)揭露一藏匿在PHPMailer的安全漏洞,將允許遠端駭客執行任意程式,估計影響數百萬個網站PHPMailer開發團隊則在一周內釋出兩次更新以修補該漏洞。 Id9hC<8$dq PHPMailer為一可用來安全運送郵件的函式庫,是全球最受歡迎的PHP郵件寄送函式庫之一,包括WordPress、Drupal及Joomla!等開源CMS平臺都使用PHPMailer,Golunski估計PHPMailer的全球用戶超過900萬。 �%kyvt��t Golunski說明,駭客可藉由各種常見的網站元件送出電子郵件以開採此一編號為CVE-2016-10033的安全漏洞,例如聯絡/意見格式、註冊格式,或是電子郵件密碼重置等,成功的開採將可危害網路應用程式,或是針對網站伺服器的使用者進行遠端程式攻擊,影響所有的PHPMailer版本。 9CxU:��;3� PHPMailer團隊已在上周六(12/24)釋出PHPMailer 5.2.18修補了CVE-2016-10033,不過,Golunski隨後便發現他能繞過此一修補程式,促使該團隊於本周三(12/28)再度釋出5.2.20進行修補。 [�X;yJ��$� 有鑑於該漏洞的嚴重性,再加上已有攻擊程式在網路上流傳,讓向來不針對第三方函式庫發出公告的Drupal也發聲,提醒採用PHPMailer的Drupal用戶儘速更新。 '�w�&�,3@Z
|
