Toolinux Linto.AI OpenPAAS OBM Hubl.IN Linagora

PHPMailer patché… encore

mercredi 4 janvier 2017

PHPMailer est une bibliothèque très utilisée notamment dans les CMS pour gérer l’envoi de mail. C’est donc un projet important dont la sécurité ne doit pas être prise à la légère. Nous vous en parlions il y a peu, une importante faille de sécurité avait été découverte permettant de compromettre le système hôte. Les développeurs ont donc rapidement publié un correctif. Mais visiblement, celui-ci ne suffisait pas. Le jour de la publication, un exploit permettant de le contourner était également publié.

La faille exploite une faille dans les commandes escapeshellarg() et escapeshellcmd() qui permettent d’injecter des caractères dans une commande.

Liens :

- Informations sur le site de PHPMailer
- Plus de précisions sur le site MalwareJake