Lek in PHPMailer maakt miljoenen websites kwetsbaar
PHPMailer wordt op veel websites gebruikt om content te versturen, bijvoorbeeld tekst in invulvakjes zoals contactformulieren, wachtwoordreset-vakjes, of registratieformulieren. Security-expert Dawid Golunski ontdekte dat een lek in de PHPMailer-bibliotheek ervoor kan zorgen dat cybercriminelen op afstand de pagina kunnen hacken.
Hij beschrijft hoe de tekst die wordt ingevuld in zulke invulvakjes niet voldoende wordt gecontroleerd. Waar een e-maildadres zou moeten worden ingevuld, kunnen onverlaten bijvoorbeeld ook code ingeven die ervoor kan zorgen dat ze toegang krijgen tot de server.
Incomplete patch
PHPMailer kwam afgelopen zaterdag met een patch, maar die update was niet genoeg om het lek te dichten, rapporteert PCWorld. CMS-systemen zoals Joomla, Drupal en Wordpress reageerden al op het nieuws, maar lieten weten dat de kwetsbaarheid niet in elke instantie van PHPMailer aanwezig is.
Websites die bezoekers een e-mailadres laten invullen als afzender lopen wél gevaar, maar vaak is dat niet mogelijk; meestal kunnen bezoekers op een contactformulier enkel een e-mailadres ingeven om antwoorden te ontvangen.
Webmasters die gebruikmaken van PHPMailer worden desalniettemin aangeraden om de berichtgeving van hun specifieke CMS te volgen en de laatste patches te downloaden zodra ze beschikbaar worden.