PHPMailer เสี่ยงต่อการถูกโจมตีจากระยะไกลเนื่องจากข้อบกพร่องที่สำคัญ
PHPMailer, หนึ่งในที่สุด นิยมใช้ PHP โอเพ่นซอร์สไลบรารี PHP ในปัจจุบัน, ได้พบปัญหาของตัวเองในฐานะนักวิจัยความปลอดภัยของโปแลนด์ Dawid Golunski ของแฮกเกอร์ทางกฎหมายได้ ค้นพบช่องโหว่ที่สำคัญซึ่งทำให้เสี่ยงต่อการถูกโจมตีจากระยะไกล.
ข้อมูลเฉพาะของช่องโหว่ในคำถาม (CVE-2016-10033) ยังไม่ได้รับการเปิดเผยเนื่องจาก Golunski เป็น ระงับรายละเอียดทางเทคนิคเกี่ยวกับข้อบกพร่อง อันเนื่องมาจากความแพร่หลายของ PHPMailer.
Golunski เปิดเผยถึงข้อบกพร่องของธรรมชาติและดูเหมือนว่าข้อบกพร่องนั้นจะเกิดขึ้น อนุญาตให้ผู้โจมตีเรียกใช้รหัสโดยอำเภอจากระยะไกลในบริบทของเว็บเซิร์ฟเวอร์. นี่จะทำให้เว็บแอปพลิเคชันเป้าหมายประนีประนอม.
เพื่อใช้ประโยชน์จากช่องโหว่นี้โดยเฉพาะผู้โจมตีจะต้อง องค์ประกอบเป้าหมายเว็บไซต์ที่ส่งอีเมลด้วยความช่วยเหลือของรุ่นที่มีช่องโหว่ของ PHPMailer. ส่วนประกอบดังกล่าวรวมถึงสิ่งต่าง ๆ เช่นแบบฟอร์มการติดต่อหรือข้อเสนอแนะแบบฟอร์มการลงทะเบียนการรีเซ็ตอีเมลรหัสผ่านและอื่น ๆ อีกมากมาย.
โชคดีที่ Golunski ได้รายงานช่องโหว่นี้แก่ผู้พัฒนา PHPMailer และ นักพัฒนาซอฟต์แวร์ได้ทำการแก้ไขช่องโหว่ดังกล่าวด้วย PHPMailer 5.2.18. เนื่องจากทุกเวอร์ชันของ PHPMailer ก่อนหน้า 5.2.18 ได้รับผลกระทบจากช่องโหว่นี้ผู้ดูแลเว็บและผู้พัฒนาควรอัปเดต PHPMailer โดยเร็วที่สุด.
ที่มา: The Hacker News