Blog

29 Dic 2016

PHP Mailer Liberaries mata el sitio web cada minuto que no lee este artículo

Un incrédulo código remoto de indefensión ejecución hecho PHPMailer, un destacado entre las bibliotecas de envío de correo PHP PHP ampliamente utilizado roble, podría establecer millones de sitios En peligro de reclamar piratería.

La imperfección podría haber sido encontrada Hacia un especialista en seguridad llamado Dawid Golunski. Además, podría haberse incorporado una solución inicial en PHPMailer 5. 2. 18, que podría haber sido dado de baja el sábado. Sin embargo, resulta que el patavium podría haber sido inadecuado. Además, podría ser anulado.

La biblioteca de PHPMailer puede utilizarse específicamente de forma alternativa por implicación. Eventualmente, Tom examina detenidamente un número significativo de contenido que supervisa los marcos de economía (CMS), incluidos WordPress y Joomla Also Drupal. El lugar en el que la biblioteca puede no estar incluida. Anteriormente, su código de centro, se puede acceder de forma inclinada. Ilustración ilustrativa Un módulo separado podría estar empaquetado alternativamente con complementos de terceros.

Debido a esto, camwood influencia de esos defectos difieren comenzando con el sitio web con el sitio web. Por ejemplo, la cooperación en seguridad de Joomla dictó que la clase Joomla JMail, que depende de una vez PHPMailer, necesita configuraciones de validación adicionales que se concentren en explotar la indefensión ilógica.

La imperfección se iniciará para insuflar la aceptación de la información de la dirección de correo electrónico del remitente. También podría permitir que un agresor infunda comandos de shell que podrían ejecutarse en el servidor web en la configuración del proyecto sendmail.

Sin embargo, un gran abuso obliga a los que están cerca de una manifestación web en el sitio web a que los empleos PHPMailer envíe mensajes. También permite ingresar una ubicación de correo electrónico del remitente personalizado: la ubicación que aparece en el encabezado del correo electrónico. No es razonable la regularidad de tales configuraciones, en general, las manifestaciones web llevan al remitente por correo electrónico predefinido. También es mejor permitir a los clientes que informen su dirección de correo electrónico de manera similar a un beneficiario.

"Todos los puntos en el centro Joomla API que envían correo utilizan la dirección del remitente establecida en la configuración mundial Además, no considera que la información del cliente deba tener la oportunidad de ubicarse en otro lugar", dijo la cooperación de seguridad de Joomla para un informe. "Sin embargo, las extensiones que se empaquetan Una adaptación diferenciada de PHPMailer alternativamente no utiliza la API de Joomla con el correo electrónico de envío podría ser una oportunidad de estar indefenso si este problema. ".
Los desarrolladores de WordPress llegaron a una conclusión comparativa, señalando en su propio rastreador de fallas que el trabajo interno de wp_mail () utilizado hacia el código del centro de WordPress puede no estar influenciado porque no utiliza la característica de PHPMailer ineficaz. Los complementos de terceros que usan wp_mail () de manera efectiva tampoco deberían influir hipotéticamente, aunque la influencia sobre los complementos particulares puede estar actualmente bajo examen.

"El próximo 4. 7. La llegada de 1 ofrecerá un gran alivio para estos problemas ", dijo el diseñador principal de WordPress, Dion Hulse. "Estamos enviados con el solo envío de bibliotecas seguras para WordPress, en cualquier caso, si utilizamos la característica o no. ".
El grupo de seguridad de Drupal también estableció un informe de seguridad para este tema. Lo que es más, lo marcó como crítico, a pesar de que el código del centro de Drupal no se verá influido. Eventualmente, Tom examinará esas imperfecciones.

"Dada la sorprendente criticidad para este tema y el momento de su aprobación, estamos publicando una publicación de administración de población general con precaución que posiblemente haya influido en los mantenedores de sitios de Drupal", dijo la cooperación.

En el arreglo introductorio, camwood puede ser ignorado y el código de uso indebido de la población general puede estar disponible, aquellos indefensos necesitan el estado de día cero; se lo referirá públicamente y se lo desmantelará. Además, un resultado directo que varía de un sitio web a otro, dependiendo de cómo se pueda usar PHPMailer, no hay un enfoque simple para los webmasters que alivien el problema sin una evaluación cuidadosa.

Asumiendo que utilizan PHPMailer directamente Anteriormente, el código de su sitio web, deberían revisar la biblioteca de la versión más reciente de patchcord tan rápidamente como su descarga. Además, diferentes tipos transmiten mensajes para la asistencia de una versión indefensa de PHPMailer. Además, se supone que un agresor de la posibilidad podría proporcionar información sobre la ubicación del remitente de correo electrónico.

Sobre la utilización de un marco de administración de sustancias que deberían reforzar aún más su sitio web de ayuda para averiguar si su influencia se unió a su configuración predeterminada. Después de eso, deberían evaluar los influjos de los complementos de terceros alternativamente en los módulos que necesitan ser introducidos. También podrían usar PHPMailer por su cuenta.

&bsp

GTranslate Your license is inactive or expired, please subscribe again!