PHPMailer victime d’une faille de sécurité critique, un correctif est disponible
2016 et les failles, une histoire d'amour
Le 27 décembre 2016 à 07h39
2 min
Internet
Internet
PHPMailer est victime d'une importante faille de sécurité permettant d'exécuter du code arbitraire à distance. Un correctif est disponible avec la version 5.2.18, mais il faut maintenant attendre qu'il soit déployé par les applications utilisant PHPMailer.
Comme son nom l'indique, PHPMailer est une bibliothèque PHP qui permet d'envoyer des emails et que l'on retrouve dans de nombreuses applications comme WordPress, Drupal, Joomla, etc. Cette solution est donc largement utilisée, ce qui est d'autant plus problématique quand une importante faille de sécurité est découverte. C'est justement ce que vient de trouver Dawid Golunski, sur toutes les versions de PHPMailer inférieures à la 5.2.18 (datée du 24 décembre).
Le hacker à l'origine de la découverte explique que via cette brèche, un pirate pourrait exécuter du code arbitraire à distance sur le serveur qui héberge PHPMailer : « Un attaquant pourrait cibler des composants classiques d'un site web tels que les formulaires de contact ou d'inscription, la réinitialisation d'un mot de passe et d'autres qui envoient des emails à l'aide d'une version vulnérable de la classe PHPMailer ».
Dawid Golunski ajoute qu'il a développé un prototype fonctionnel permettant d'utiliser cette faille. Il ne donne par contre pas plus de détails pour le moment afin de laisser à chacun le temps de se mettre à jour avec la version 5.2.18 (ou 5.2.19 qui ne propose que des changements mineurs) de PHPMailer.
Il faudra également attendre que les applications qui utilisent cette classe se mettent à jour (Joomla, Drupal, WordPress, etc.). Dans tous les cas, le hacker promet que tous les détails d'exploitation de cette faille et une vidéo seront publiés prochainement, sans préciser quand exactement.
Commentaires (14)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/12/2016 à 21h16
Pour ceux qui n’ont pas suivi, il y a eu des nouvelles mises à jour, car le patch n’était pas suffisant ! Tous les sites ne sont pas concernés en fonction de la mise en application de phpMailer, mais bon, vaut mieux prévenir que guérir !
Le 29/12/2016 à 10h07
Le 27/12/2016 à 10h42
Ok, donc pour faire simple :
“Faites la MAJ, je vous expliquerai plus tard ce que ça implique réellement, et comment l’exploiter.”
Le 27/12/2016 à 10h56
On peut aussi dire :
“Faites la MAJ et protégez-vous avant que je ne dévoile comment trouer votre site.”
Le 27/12/2016 à 11h02
En étudiant la class avant et après le patch, ça peut donner une indication sur la faille.
Le 27/12/2016 à 12h00
Le 27/12/2016 à 12h15
Le 27/12/2016 à 12h37
Pourtant en lisant un des commentaires un mec dit que le sender a déjà été validé dans la function preSend()
Si c’est le cas, je ne comprends pas ou est le pb…
Le 27/12/2016 à 12h42
C’est mal, ou pas complètement testé quand c’est vide, à ce que je comprends.
Le 27/12/2016 à 12h57
Le 27/12/2016 à 14h47
Un mec fournit ce lien sur le github
 https://www.saotn.org/exploit-phps-mail-get-remote-code-execution/
Le 27/12/2016 à 14h59
Oui, mais s’il vaut null, il peut pas par conséquent injecter du code dedans
" />
@bilbonsacquet je pense pas que ça vienne de la puisque ce paramètre est sous contrôle de l’administrateur
Le 27/12/2016 à 16h11
Le 28/12/2016 à 08h00