PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)
来源:互联网 发布:java没学好可以做什么 编辑:程序博客网 时间:2024/06/05 07:11
这次曝出远程代码执行漏洞的是堪称全球最流行邮件发送类的PHPMailer, 据说其全球范围内的用户量大约有900万——每天还在持续增多。
本文投稿作者:lmj,转载须注明来自FreeBuf.COM
GitHub上面形容PHPMailer“可能是全球PHP发送邮件最流行的代码。
亦被诸多开源项目所采用,包括WordPress、Drupal、1CRM、Joomla!等”。
所以这个漏洞影响范围还是比较广的,漏洞级别也为Critical最高级。
漏洞编码
CVE-2016-10033
影响版本
PHPMailer < 5.2.18
漏洞级别
高危
漏洞描述
独立研究人员Dawid Golunski发现了该漏洞——远程攻击者利用该漏洞,可实现远程任意代码在web服务器账户环境中执行,并使web应用陷入威胁中。
攻击者主要在常见的web表单如意见反馈表单,注册表单,邮件密码重置表单等使用邮件发送的组件时利用此漏洞。
不过有关该漏洞的细节信息,研究人员并未披露,期望给予网站管理员更多的时间来升级PHPMailer类,避免受漏洞影响。
漏洞PoC
实际上Dawid Golunski已经做了个可行的RCE PoC,不过会迟一些再发布。关注视频PoC请点击:https://legalhackers.com/videos/PHPMailer-Exploit-Remote-Code-Exec-Vuln-CVE-2016-10033-PoC.html
漏洞修复
更新到5.2.18:https://github.com/PHPMailer/PHPMailer
漏洞详情目前已经提交给了PHPMailer官方——官方也已经发布了PHPMailer 5.2.18紧急安全修复,解决上述问题,受影响的用户应当立即升级。
详情可参见:
https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md
https://github.com/PHPMailer/PHPMailer/blob/master/SECURITY.md
置顶悬镜安全实验室公众号,给你最新,最有料的资讯,安全技术干货。
有料丨有趣丨行业丨观点丨
- PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)
- PHPMailer 命令执行漏洞(CVE-2016-10033)分析
- Fastjson 爆出远程代码执行高危漏洞
- Struts 2 远程代码执行漏洞(CVE-2016-0785)解决方案
- MySQL远程代码执行(CVE-2016-6662)漏洞预警
- Tomcat远程代码执行漏洞(CVE-2017-12615)
- Tomcat 远程代码执行漏洞分析(CVE-2017-12615)
- 【高危漏洞预警】CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052)
- 使用Coverity 检测 ImageMagick高危命令执行 (CVE-2016-3714 )0Day漏洞
- Mysql本地提权及远程代码执行漏洞浅析(CVE-2016-6662)
- 漏洞预警+Samba远程代码执行漏洞(CVE-2017-7494)
- Struts2/WebWork高危漏洞(远程执行任意代码)
- ElasticSearch远程任意代码执行漏洞(CVE-2014-3120)分析
- Samba CVE-2015-0240 远程代码执行漏洞利用实践
- 测试Tomcat CVE-2017-12615 远程代码执行漏洞
- BlueBorne远程代码执行漏洞Poc实战(CVE-2017-0781)
- Office CVE-2017-8570远程代码执行漏洞复现
- Samba远程崩溃或代码执行漏洞(CVE-2015-0240)简要分析
- springmvc 上传下载文件问题(浏览器没有反应,下载文件无法打开)
- BaseActivity
- Android热修复技术选型——三大流派解析
- JavaScript易错知识点整理
- redmine迁移与升级
- PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)
- 使用python+selenium自动上传exel表中bug
- Ubuntu问题修复
- 欢迎使用CSDN-markdown编辑器
- Spring+MyBatis实现数据库读写分离方案
- [Ext JS 6 By Example 翻译] 第3章 - 基础组件
- 基于Flume的美团日志收集系统(一)架构和设计
- 软件工程-第一章 介绍
- 欢迎使用CSDN-markdown编辑器