Fallo grave en PHPMailer compromete millones de web en todo el mundo

Se ha descubierto una vulnerabilidad crítica en PHPMailer, una de las bibliotecas Open Source de PHP más utilizadas para enviar emails y que es utilizada por millones de usuarios en todo el mundo.

PHP es la tecnología a nivel de servidor más popular de la web, habiéndose convertido en el puntal principal de muchos CMS populares como WordPress, Drupal, 1CRM, SugarCRM, Yii y Joomla. Por otro lado, todos esos gestores de contenidos incluyen PHPMailer para enviar correos electrónicos utilizando varios métodos, entre los que se encuentra el SMTP.

La vulnerabilidad ha sido descubierta por el investigador en seguridad polaco Dawid Golunski, de Legal Hackers, y se le ha asignado el código CVE-2016-10033. Según cuenta el investigador, un atacante podría ejecutar código arbitrario de forma remota en el contexto del servidor web y comprometer componentes de la aplicación web objetivo como los formularios de contacto y retroalimentación, formularios de registro, restablecimientos de contraseñas y otros mecanismos que terminen emitiendo correos electrónicos.

Por suerte los desarrolladores de PHPMailer han parcheado la vulnerabilidad nada más ser descubierta en la versión 5.2.18. Todas las versiones anteriores contienen la vulnerabilidad, por lo que se recomienda encarecidamente llevar a cabo el proceso de actualización de esta biblioteca de PHP.

Fuente | The Hacker News