PHPMailer, una de las librerías de PHP de código abierto más populares en uso hoy en día, y es la favorita donde laboro. El investigador de seguridad informática Dawid Golunski ha descubierto una vulnerabilidad crítica que lo deja susceptible a exploits remotos, una noticia no muy alentadora para las empresas que usan esta librería para enviar correos electrónicos desde PHP.
Aun no se ha especificado como funciona la vulnerabilidad (CVE-2016-10033), Golunski está reteniendo detalles técnicos sobre el defecto debido al uso de PHPMailer para el envío de correo electrónico.
Golunski no reveló la naturaleza de la falla, sin embargo, parece que la falla permitiría a un atacante ejecutar código arbitrario de forma remota en el contexto del servidor web. Esto comprometería entonces la aplicación web de destino.
Para explotar esta vulnerabilidad en particular, el atacante se dirigiría a los componentes del sitio web que envían correos electrónicos en PHPMailer con la ayuda de una versión vulnerable de la clase de esta librería. Estos componentes incluyen cosas como formularios de contacto o comentarios, formularios de registro, restablecimientos de correo electrónico de contraseña y muchos otros.
Afortunadamente, desde entonces, Golunski ha reportado esta vulnerabilidad a los desarrolladores de PHPMailer, y los desarrolladores han solucionado desde entonces dicha vulnerabilidad con PHPMailer 5.2.18. Como toda la versión de PHPMailer anterior a 5.2.18 se ve afectada por esta vulnerabilidad, los administradores web y los desarrolladores deben actualizar PHPMailer tan pronto como sea posible.
Como puedes ver, la ultima versión es reciente. Tener la ultima versión de librerías, herramientas y código en general, nos ayuda a evitar vulneraciones a la información que manejen las aplicaciones web que desarrollemos.