Se han hecho públicas varias vulnerabilidades en el
software en PHP de envío de correo PHPMailer integrado en muchos productos
opensource basados en PHP. Estas vulnerabilidades permitirían a un atacante
ejecutar código arbitrario en el sistema afectado, catalogadas de Importancia: 5
Crítica
Recomendación
- Actualizar a la versión 5.2.21 de PHPMailer.
Detalle e Impacto de la vulnerabilidad:
- Las vulnerabilidades encontradas permiten la ejecución de código arbitrario en el sistema a través de una incorrecta validación de parámetros en la función de envío de correo de PHPMailer, pudiendo de esta manera ejecutar código en el sistema afectado. Un atacante podría aprovecharse de esta vulnerabilidad en formularios de registro, contacto o de recuperación de contraseñas, que realizan un envío de email utilizando PHPMailer.
- Se han reservado los identificadores CVE-2016-10045 y CVE-2016-10033 para estas vulnerabilidades.
Más información
- Security notices relating to PHPMailer https://github.com/PHPMailer/PHPMailer/blob/master/SECURITY.md
Fuente: INCIBE
