Vanilla Forums lukker alvorligt hul

Diskussionsforumprogrammet Vanilla Forums har lukket et alvorligt hul i PHPMailer og et andet hul.

Sårbarheden i PHPMailer har været kendt i flere måneder. Den version, der er inkluderet i Vanilla, er opdateret med Vanilla version 3.2.1.

En mindre alvorlig sårbarhed ligger i behandlingen af HTTP_HOST-headeren. Hullet er ikke lukket, i stedet har udviklerne fjernet brugen af headeren. De advarer om, at det kan give problemer.

Udviklerne arbejder på en løsning, der lukker hullet rigtigt.

Cloud-versionen af Vanilla er ikke berørt, kun open source-udgaven.

Anbefaling

Opdater til version 2.3.1.

Links