PHPMailer

Vanilla Forums lukker alvorligt hul

Sårbarheden i PHPMailer har været kendt i flere måneder. Den version, der er inkluderet i Vanilla, er opdateret med Vanilla version 3.2.1.

En mindre alvorlig sårbarhed ligger i behandlingen af HTTP_HOST-headeren. Hullet er ikke lukket, i stedet har udviklerne fjernet brugen af headeren. De advarer om, at det kan give problemer.

Udviklerne arbejder på en løsning, der lukker hullet rigtigt.

Cloud-versionen af Vanilla er ikke berørt, kun open source-udgaven.

Anbefaling

Opdater til version 2.3.1.

Dansk

PHPMailer lukker alvorligt hul, som også rammer andre PHP-programmer

En angriber kan udnytte sårbarheden til at afvikle kommandoer på webserveren.

Sikkerhedsforsker Dawid Golunski har fundet sårbarheden i PHPMailer, SwiftMailer og Zend Framework. Fejlen er rettet i PHPMailer 5.2.20.

Udviklerne af SwiftMailer har forsøgt at lukke hullet med version 5.4.5. Sikkerhedsforsker Paul Buonopane mener imidlertid, at rettelsen ikke er tilstrækkelig til at lukke hullet.

Zend Framework har lukket hullet med version 2.7.2 af zend-mail.

Dansk
Abonnér på RSS - PHPMailer