Pour gérer vos consentements :
Categories: CloudDéveloppeursPolitique de sécuritéProjetsSécuritéServeurs

Une faille dans PHPMailer fragilise des CMS et des millions de sites web

crédit photo © ra2studio - shutterstock

Un chercheur polonais en sécurité, Dawid Golunski, a trouvé une faille critique dans PHPMailer. Ce script PHP donne aux développeurs la capacité d’automatiser l’envoi de mail. Cette librairie est très connue et des millions de sites web l’utilisent, ainsi que les CMS les plus populaires comme WordPress, Joomla, Drupal, SugarCRM, vTiger CRM, Mantis, XOOPS, Zikula, etc.

Concrètement, cette faille ouvre la voie à des attaques capables de « cibler des composants classiques d’un site web tels que les formulaires de contact ou d’inscription, la réinitialisation d’un mot de passe et d’autres qui envoient des e-mails à l’aide d’une version vulnérable de la classe PHPMailer », indique le spécialiste.

La vulnérabilité a été référencée sous le code CVE-2016-10033 et vise les versions antérieures à la 5.2.18. Cette dernière corrige la faille et a été publiée le jour de Noël. Étant donné la période, la mise à jour sur l’ensemble des sites va prendre du temps et parfois elle ne sera jamais appliquée. Pour les éditeurs de CMS, WordPress et Drupal préparent des correctifs de sécurité mettant à jour la librairie.

Les cybercriminels plus rapides

Sur une page, le chercheur donne quelques indications sur le modus operandi de la vulnérabilité. Il précise avoir élaboré un prototype fonctionnel d’une attaque pour démontrer la véracité de sa découverte. Il reste cependant volontairement laconique dans ses explications pour donner du temps aux webmasters et aux éditeurs de corriger leurs versions de PHPMailer embarqué dans leur code.

Mais malgré sa prudence, des pirates ont analysé les différences entre le code source de la version non corrigée et celui de la version corrigée. Les cybercriminels ont mené des travaux de rétro-ingénierie sur la mise à jour de sécurité afin d’identifier la faille. Pour in fine, diffuser leur propre code d’attaque disponible sur GitHub et ExploitDB.

A lire aussi :

PHP au top des langages à la source de failles

Salaires : des disparités entre développeurs PHP en 2016

crédit photo  © ra2studio – shutterstock
Share
Published by
Jacques Cheminat
Tags: CMSDrupalDrupal 8faillePHP
7 années ago

Recent Posts

Oracle choisit l’expertise Java et SQL pour son « IA qui code »

Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…

18 heures ago

EPEI (Daniel Kretinsky) vise Atos : les axes directeurs de sa proposition

EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…

20 heures ago

Onepoint veut reprendre Atos : les grandes lignes de son offre

Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…

22 heures ago

AWS prend ses distances avec VMware version Broadcom

Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…

2 jours ago

Avec ZTDNS, Microsoft essuie les plâtres du zero trust appliqué au DNS

Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…

2 jours ago

Atos sur la voie d’un sauvetage ? Point de situation

Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…

2 jours ago