服务公告

全部公告 > 安全公告 > PHPMailer远程代码执行漏洞(CVE-2016-10033 CVE-2016-10045)安全预警

PHPMailer远程代码执行漏洞(CVE-2016-10033 CVE-2016-10045)安全预警

2016-12-29

一、漏洞概述

近日,PHPMailer被发现存在两个远程命令执行漏洞,漏洞编号为CVE-2016-10033、CVE-2016-10045。远程攻击者利用漏洞,可实现远程任意代码在web服务器账户环境中执行。PHPMailer被许多开源项目所采用,包括WordPress、Drupal、1CRM、Joomla! 等,目前漏洞POC已公布,请受影响的客户尽快升级。

PHPMailer 近期被发现存在远程命令执行漏洞,漏洞编号为CVE-2016-10033,攻击者主要在常见的web表单如意见反馈表单,注册表单,邮件密码重置表单等使用邮件发送的组件时利用此漏洞。PHPMailer官方发布补丁,对漏洞进行修复,但修复并不完整,安全研究人员发现其发布的补丁版本仍然可以绕过,随后PHPMailer官方将版本更新至5.2.21。

官网说明:https://github.com/PHPMailer/PHPMailer

二、漏洞级别

漏洞级别:紧急。

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

PHPMailer < 5.2.21< 5.2.21

四、安全建议

将PHPMailer 版本升级至5.2.21

注意:升级前请将资料备份,并进行充分测试。


华为云客户服务中心
2016年12月29日

点我,12·12惊喜等着你哦~