Joomla: предупреждение об опасности PHPMailer

[20161205] – скрипт PHPMailer предупреждение об опасности

Программа: Joomla!

Степень серьёзности: Высокая

Версии: с 1.6.0 до 3.6.5

Тип Эксплойта: Удаленное выполнение кода в сторонней библиотеке PHPMailer

CVE Номера: CVE-2016-10033 and CVE-2016-10045

Описание

Все версии сторонних библиотек PHPMailer распространяемые с Joomla! вплоть до версии 3.6.5 уязвимы к удаленному выполнению кода. Это исправлено в версии PHPMailer 5.2.18 что будет включен в версию Joomla! 3.7. После анализа, JSST (команда по безопасности Joomla) определила, что благодаря правильному использованию класса JMail, в котором есть дополнительные валидаторы, использование уязвимости невозможно в среде Joomla. Чтобы воспользоваться уязвимостью необходима возможность пользователю ввести данные в «from» сообщения. Все функции в Joomla API, способные отправлять сообщения используют в качестве адреса отправителя (“from”) адреса, размещенные в глобальной конфигурации и не разрешают пользователю введение данные где-то еще. Однако, расширения, что объединяют различные версии скрипта PHPMailer или не используют Joomla API при отправке сообщений могут быть подвержены уязвимости в связи с этой проблемой.

Как правило команда Joomla не дает советов касательно сторонних библиотек, однако учитывая остроту этого вопроса мы сочли важным сообщить нашим пользователям, что мы знаем об этой проблеме, и мы определили, что дополнительные проверки в нашем API предотвращают использование этой уязвимости.

Пораженные инсталляторы

Joomla! CMS версии с 1.6.0 до 3.6.5

Решение

Не требуется никаких действий для пользователей Joomla. Обновленная библиотека войдет в следующий по плану релиз, а существующие механизмы способны предотвратить использование уязвимости. Всем, кто использует библиотеку PHPMailer не с Joomla, мы советуем обновить версию этого скрипта до 5.2.18 версии или более новой как можно быстрее.

Original

Reviewer
Joomla: предупреждение об опасности PHPMailer
Название
Joomla: предупреждение об опасности PHPMailer
Описание
Все версии сторонних библиотек PHPMailer распространяемые с Joomla! вплоть до версии 3.6.5 уязвимы к удаленному выполнению кода
Автор
Издатель
8d9.ru
Лого
Joomla: предупреждение об опасности PHPMailer
Оценка
Новые записи