Af Torben B. Sørensen, 17/05/17
Diskussionsforumprogrammet Vanilla Forums har lukket et alvorligt hul i PHPMailer og et andet hul.
Sårbarheden i PHPMailer har været kendt i flere måneder. Den version, der er inkluderet i Vanilla, er opdateret med Vanilla version 3.2.1.
En mindre alvorlig sårbarhed ligger i behandlingen af HTTP_HOST-headeren. Hullet er ikke lukket, i stedet har udviklerne fjernet brugen af headeren. De advarer om, at det kan give problemer.
Udviklerne arbejder på en løsning, der lukker hullet rigtigt.
Cloud-versionen af Vanilla er ikke berørt, kun open source-udgaven.
Anbefaling
Opdater til version 2.3.1.
Links
- Critical security release: Vanilla 2.3.1
- Vanilla Forums Rushes to Patch Disclosed Vulnerabilities, artikel fra SecurityWeek