image

Miljoenen websites kwetsbaar door ernstig PHPMailer-lek

woensdag 28 december 2016, 09:33 door Redactie, 2 reacties

Een beveiligingsupdate die deze week verscheen voor een ernstig beveiligingslek in PHPMailer blijkt niet afdoende te zijn, waardoor nog steeds miljoenen websites risico lopen. PHPMailer is een programma dat e-mailfunctionaliteit aan websites toevoegt, bijvoorbeeld voor het achterlaten van feedback.

Volgens de ontwikkelaars heeft de software naar schatting 9 miljoen gebruikers. Onder andere WordPress, Drupal, SugarCRM en Joomla maken er gebruik van, zo meldt het Nationaal Cyber Security Center (NCSC). Deze week verscheen er een beveiligingsupdate voor een kwetsbaarheid (CVE-2016-10033) waardoor een aanvaller op afstand code met de rechten van de webserver kon uitvoeren. De update, met versienummer 5.2.18, blijkt het probleem echter niet volledig te verhelpen, meldt beveiligingsonderzoeker Dawid Golunski. Hij ontdekte ook het lek en de mogelijkheid om de update te omzeilen.

Op tweede kerstdag waarschuwde hij de ontwikkelaars voor het nieuwe probleem, dat als CVE-2016-10045 wordt aangeduid. De ontwikkelaars zouden inmiddels aan een beveiligingsupdate werken die binnenkort zal verschijnen, meldt Golunski op de Full Disclosure-mailinglist. De onderzoeker besloot de details echter al openbaar te maken omdat er op een andere mailinglist al een manier werd besproken om de update voor CVE-2016-10033 te omzeilen. "Het achterhouden van de advisory zou dan ook geen zin hebben", laat Golunski weten.

Reacties (2)
28-12-2016, 12:33 door [Account Verwijderd] - Bijgewerkt: 28-12-2016, 12:34
Ondertussen, sinds een uur, is versie 5.2.19 beschikbaar op
https://github.com/PHPMailer/PHPMailer/blob/master/class.phpmailer.php
28-12-2016, 16:41 door Anoniem
https://www.exploit-db.com/exploits/40969
PHPMailer < 5.2.18 Remote Code Execution PoC Exploit (CVE-2016-10033)
+
PHPMailer < 5.2.20 Remote Code Execution PoC Exploit (CVE-2016-10045)
(the bypass of the first patch for CVE-2016-10033)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.